Cientos de tiendas de zapatos en línea falsificadas inyectadas con skimmer de tarjeta de crédito

Cientos de tiendas de zapatos en línea falsificadas inyectadas con skimmer de tarjeta de crédito

Hay un dicho muy usado en seguridad: “Si es demasiado bueno para ser verdad, entonces probablemente no lo sea”. Esto se puede aplicar fácilmente a la gran cantidad de tiendas en línea que venden productos falsificados, y ahora atraen fraudes secundarios en la forma de un skimmer de tarjeta de crédito.

Atraídos por grandes ofertas de marcas, muchas personas terminan comprando productos en sitios web dudosos solo para descubrir que lo que pagaron no es lo que están obteniendo.

Recientemente identificamos un skimmer de tarjeta de crédito inyectado en cientos de sitios fraudulentos que venden zapatos de marca. Los compradores desafortunados no solo estarán decepcionados con la mercancía falsa, sino que también cederán sus datos personales y financieros a los estafadores de Magecart.

Zapatos falsificados por el camión

Piense en la web como una guerra interminable entre marcas, equipos de seguridad y estafadores, ya que las compañías legítimas trabajan con seguridad para eliminar un sitio falsificado, pronto aparece otro.

Una forma en que los sitios fraudulentos reciben tráfico es a través del spam del foro. Los ladrones hacen troll en los foros deportivos y de fitness y dejan mensajes para atraer a los usuarios a visitar la tienda falsa:

Aquí está el mismo sitio falsificado que vende Adidas, Nike y otras zapatillas de marca grandes:

trainersnmd [.] com está alojado en Rusia en 91.218.113 [.] 213 . Mirando la subred 91.218.113.0/24, podemos ver muchos más dominios utilizados en el mismo negocio falsificado.

Algunos de esos dominios fueron asumidos y reemplazados por un aviso de publicación. Por ejemplo, en mayo de 2019, Adidas presentó una queja por medidas cautelares y daños contra cientos de tiendas falsas de Adidas.

Inyección masiva de skimmer de tarjeta de crédito

El código de descremado se agregó a un archivo JavaScript llamado translate.js . (Puede encontrar una copia completa del skimmer desobuscado aquí ).

Los datos robados, incluidas las direcciones de facturación y los números de tarjetas de crédito, se extraen a un servidor en China en 103.139.113 [.] 34.

Lo interesante es que esto es en realidad un compromiso masivo en varias subredes IP.

Una mirada rápida a varios dominios usando SiteCheck de Sucuri reveló que están usando el mismo software obsoleto:

Es probable que un escáner malicioso simplemente rastreara esos rangos de IP y utilizara la misma vulnerabilidad para comprometer todos y cada uno de esos sitios falsificados.

Compras en línea y sus riesgos.

Comprar en línea en estos días es como caminar en un campo minado, sin embargo, muchas personas no son conscientes de los peligros que acechan detrás de cada esquina.

Según nuestros rastreadores, vemos que los nuevos sitios de comercio electrónico son víctimas de los skimmers web todos los días. Mirando nuestra telemetría, también podemos correlacionar el número de bloqueos web con los patrones de compra, como los eventos del Black Friday y el Cyber ​​Monday.

Como vimos en esta publicación, los sitios falsificados representan una doble amenaza, no solo por la obtención de bienes ilícitos, sino también por el hecho de que un grupo diferente de delincuentes les roba datos.

Si bien no podemos eliminar por completo la amenaza de los skimmers digitales, aquí hay algunos consejos sobre cómo reducir los riesgos asociados con las compras en línea:

  • Asegúrese de que su computadora esté libre de malware y ejecute los últimos parches. Aproveche un producto de seguridad que ofrece protección web. El producto antimalware insignia de Malwarebytes , así como su extensión Browser Guard recientemente introducida (y gratuita) para Chrome y Firefox pueden frustrar a los skimmers relacionados con Magecart al bloquear la carga de scripts maliciosos y sitios web, así como la filtración de datos.
  • Si está comprando en un sitio por primera vez, verifique que se vea mantenido. Si bien esto no reemplaza un análisis exhaustivo de seguridad, ver notas como “Copyright 2015” puede indicar que el sitio web realmente no está siendo atendido.
  • Minimice la frecuencia con la que ingresa los datos de su tarjeta de crédito confiando en otros métodos de pago. Por ejemplo, los grandes minoristas confiables en línea, como Amazon, ya tienen sus detalles de pago archivados en su cuenta. Otros métodos seguros incluyen Apply Pay o Visa o Mastercard prepagas.
  • Revise sus estados de cuenta bancarios / de tarjeta de crédito regularmente para identificar cargos potencialmente fraudulentos.
  • Ayude a prevenir nuevos ataques al informar cualquier actividad fraudulenta (especialmente si fue víctima) a las autoridades policiales.

Fuente: Blog Malwarebytes

4 Me gusta