Скиммеры используют Telegram в качестве канала для отправки украденных данных
2 сентября 2020 года
Специалисты в области кибербезопасности заметили новый поворот в деятельности киберпреступников, связанных с так называемыми операциями Magecart — атаками, направленными на хищение платежных данных клиентов интернет-магазинов. Теперь злоумышленники используют зашифрованный мессенджер Telegram в качестве канала для отправки похищенных данных кредитных карт на управляющие серверы.
Новый метод был обнаружен ИБ-экспертом, известным как Affable Kraut, в ходе анализа вредоносного скрипта JavaScript, представляющего собой цифровой скиммер. Данный скрипт собирает данные из полей ввода и отправляет их в закрытый Telegram-канал. Вся информация отправляется в зашифрованном виде, затем Telegram-бот публикует ее в чате. Хотя этот метод весьма эффективен в плане эксфильтрации данных, он не слишком надежный, поскольку любой человек, владеющий токеном для доступа к Telegram-боту может перехватить контроль над процессом.
По словам специалиста компании Malwarebytes Жерома Сегуры (Jérôme Segura), также изучившего скиммер, идентификатор бота, Telegram-канал и запросы API закодированы с помощью алгоритма Base64.
Как отмечается, извлечение данных начинается только в том случае «если текущий URL в браузере содержит ключевое слово, указывающее на торговую площадку и когда пользователь подтверждает покупку». Затем платежные данные отправляются как легитимному процессору платежей, так и киберпреступникам. Данный механизм позволяет обойтись без инфраструктуры для извлечения данных, которая может быть заблокирована защитными решениями или отключена правоохранительными органами.
Более того, говорит Сегура, обеспечить защиту от данного скиммера — нелегкая задача. Блокировка подключения к Telegram станет только временным решением проблемы, поскольку злоумышленники могут воспользоваться и другими легитимными сервисами, позволяющими скрыть процесс извлечения данных.
Источники править
Эта статья содержит материалы из статьи «Скиммеры используют Telegram в качестве канала для отправки украденных данных», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.