Хакеры взломали сайт Casio UK и похитили данные пользователей

552     0
Хакеры взломали сайт Casio UK и похитили данные пользователей
Хакеры взломали сайт Casio UK и похитили данные пользователей

Официальный сайт британского подразделения Casio (casio.co.uk) стал жертвой кибератаки, которая позволила украсть данные пользователей.

Инцидент стал частью масштабной кампании веб-скимминга, которая на данный момент выявлена как минимум на 17 сайтах, работающих на платформе Magento или аналогичных решениях. Вредоносный код был активен на сайте Casio с 14 по 24 января, а 28 января код обнаружили ИБ-специалисты. В течение суток после уведомления компания устранила угрозу.

Вредоносный скрипт был встроен в главный код сайта и отличался от стандартных методов веб-скимминга. Обычно такие атаки направлены на страницу оплаты, но в данном случае вредоносное ПО охватило все страницы сайта, за исключением «/checkout». Это позволило мошенникам собирать данные пользователей до перехода к оплате. При попытке оформить заказ через корзину появлялась поддельная форма ввода данных, которая маскировалась под стандартное оформление покупки.

Фальшивая форма запрашивала адрес, телефон, имя, и данные банковской карты. Введённая информация передавалась на удалённый сервер с использованием шифрования AES-256-CBC. Уникальность атаки в том, что после ввода всех данных пользователь получал сообщение об ошибке и перенаправлялся на настоящий раздел оформления заказа, где ему вновь предлагалось заполнить поля оплаты. Такой метод известен как «Double Entry» и позволяет мошенникам убедиться в подлинности информации.

 qhiukiqrihdrps

3-этапный процесс оплаты скиммера (jscrambler)

Ошибка, отображаемая пользователю после ввода данных в поддельную форму (jscrambler)

В коде скиммера использовалось несколько уровней маскировки, в том числе индивидуальный механизм кодирования переменных, а также метод сокрытия строк через XOR-шифрование. Это позволяло обойти статический анализ и WAF -системы. Ещё одной особенностью атаки стало отсутствие кода вредоносного скрипта в ряде случаев, что указывало на встроенные механизмы обхода детектирования.

Сбор введенных данных (jscrambler)

Все заражённые сайты загружали вредоносный код с определенных серверов. Несмотря на различие доменных имён, основной вредоносный код оставался схожим, что указывает либо на одного организатора атак, либо на использование единого инструмента для их генерации. Также выявлены случаи использования давно зарегистрированных, но неактивных доменов, что позволяло киберпреступникам избегать блокировок.

Система безопасности Casio UK включала в себя политику Content Security Policy (CSP), однако она работала в режиме отчётности и не была настроена на автоматическое блокирование нарушений, что позволило вредоносному коду внедриться на сайт без противодействий.

Инцидент демонстрирует, что недостаточно просто внедрять механизмы защиты — их необходимо правильно настраивать и контролировать. Веб-скимминг остаётся серьёзной угрозой для онлайн-бизнеса, особенно для компаний, работающих с платёжными данными клиентов. Для эффективной защиты необходимо использование автоматизированных решений по мониторингу и предотвращению атак, так как ручное управление системами безопасности часто оказывается недостаточно эффективным.

Напомним, что в октябре 2024 года Casio стала жертвой масштабной атаки программы-вымогателя, которая привела к утечке данных тысяч сотрудников, клиентов и деловых партнёров. Casio в своем отчёте заявила, что в результате инцидента пострадали 6456 сотрудников, 1931 деловой партнёр и 91 клиент. Расследование показало, что взлом стал возможен благодаря фишинговым письмам, которые позволили злоумышленникам проникнуть на серверы компании 5 октября.

Страница для печати

Читайте по теме:

Хакеры опубликовали документы «Талибана», затронувшие ключевые министерства
Приложение DeepSeek может угрожать безопасности iPhone
Лондон не видит сигналов от Москвы к мирному урегулированию конфликта в Украине
Великобритания настаивает на создании бэкдора в Apple для доступа к зашифрованной информации
Проект «Беларускі Гаюн» приостановил работу после взлома бота
Отмывание денег, манипуляции и агрессивная цензура: «грязная» деятельность Максима Криппы привлекла внимание международного агентства CyberCriminal
Семьи олигархов Фридмана и Хана потерпели неудачу в оспаривании санкций
Великобритания впервые заменит США в руководстве форматом «Рамштайн»
Австралия запретила использовать китайский ИИ DeepSeek на правительственных устройствах
Евросоюз не смог остановить сделки: старые танкеры ушли в российский нефтяной экспорт

Комментарии:

comments powered by Disqus