Кто такие веб-скиммеры и с чем их едят

Существует ряд довольно простых правил безопасного онлайн-шоппинга, которые помогают защититься от типичных мошеннических схем и не потерять свои деньги. Они сводятся к следующему: не переводите деньги на личные счета незнакомых людей в Интернете, не вводите данные своей карточки на сомнительных сайтах и внимательно проверяйте адреса страниц прежде, чем оставлять на них платежную информацию.

Однако немногие знают, что угнать карту могут не только на мошеннических и фейковых сайтах, но и на совершенно настоящих. Это может произойти в результате заражения страницы веб-скиммерами — вредоносными программами, внедряемыми непосредственно в код сайта. О них мы сегодня и поговорим.

Что такое веб-скиммеры

Веб-скиммеры получили свое название по аналогии с обычными физическими скиммерами. То есть устройствами, которые тем или иным образом незаметно встраиваются в банкоматы или терминалы оплаты для того, чтобы воровать данные карт. Поскольку эти устройства либо незаметны, либо с виду очень похожи на привычное оборудование, ничего не подозревающий человек вставляет в банкомат или прокатывает в терминале свою карточку и тем самым отдает преступникам платежные данные.

Уже достаточно давно мошенники сообразили, что совсем не обязательно возиться с физическими устройствами и рисковать быть буквально пойманными за руку. Можно сделать все то же самое гораздо проще, с меньшим риском и полностью удаленно. Для этого необходимо написать небольшой кусочек кода, который после внедрения на сайт, где пользователи расплачиваются картами, будет данные этих карт перехватывать и отправлять куда следует. Вот такой код и называется веб-скиммером.

Преступники ищут уязвимые онлайн-магазины и прочие сайты, предполагающие оплату картой, взламывают их и устанавливают незаметно для владельцев свой вредоносный код. Вот, собственно, и все. Остается только собрать вводимые пользователями данные карт в базу данных и продать эту базу где-нибудь в даркнете другим преступникам, специализирующимся на краже средств с банковских карт.

Почему веб-скиммеры так опасны

Есть три причины, которые делают веб-скиммеры особенно опасными. Во-первых, они незаметны для пользователей. С точки зрения обычного покупателя онлайн-магазина ничего подозрительного не происходит. Покупка совершается на настоящем сайте, с правильным адресом и без каких-либо «красных флагов», и все работает совершенно как обычно. А деньги с карты жертвы, скорее всего, начнут пропадать вовсе не сразу. Поэтому установить, на каком именно сайте могли угнать данные карты, к этому моменту уже будет крайне сложно, если вообще возможно.

Во-вторых, веб-скиммеры не очень-то легко обнаружить и владельцам сайтов. Особенно если речь идет о небольших онлайн-магазинчиках, в которых может даже не быть штатного айтишника, не говоря уже об отдельном специалисте по информационной безопасности. Впрочем, даже в крупной торговой организации поиск веб-скиммеров на сайте может стать серьезной проблемой, поскольку для этого нужны достаточно экзотические навыки и решения.

Да и вообще, у владельцев онлайн-магазинов не так уж много стимулов заниматься поиском у себя на сайте веб-скиммеров. Так как для жертв весьма затруднительно связать факт кражи данных карты с каким-то конкретным магазином, то и жаловаться владельцу сайта, вероятнее всего, никто не придет. А заниматься непростым и достаточно дорогостоящим — ведь для этого нужен специалист — поиском веб-скиммеров у себя на сайте просто так, для профилактики, станут немногие.

Насколько распространена угроза веб-скиммеров

В недавнем исследовании эксперты по кибербезопасности рассказали о текущем положении дел с веб-скиммерами. Они проанализировали вредоносную кампанию, связанную, вероятно, с преступным синдикатом Magecart, который как раз и специализируется на веб-скиммерах. Вот основные находки.

• Если изначально веб-скиммеры имплантировали на сайты, работающие на платформе Magento, то к текущему моменту ассортимент атакуемых платформ расширился. Теперь преступники также умеют заражать онлайн-магазины, построенные на базе Shopify и WordPress с плагинами для приема платежей (в частности — с WooCommerce).
• Чтобы затруднить обнаружение веб-скиммера на зараженном сайте, создатели имплантов намеренно делают их похожими на легитимный код таких сервисов, как Google Analytics и Google Tag Manager.
• Один из новых приемов хакеров, которые стоят за этой атакой, состоит в том, чтобы использовать взломанные ими легитимные сайты в качестве командных серверов для управления имплантированными на другие площадки веб-скиммерами и получения украденной платежной информации. Таким образом им удается скрывать следы своей деятельности — поскольку имплантированный веб-скиммер общается с легитимными сайтами, это не выглядят подозрительными.
• Среди сайтов, на которых обнаружили веб-скиммеры, были достаточно крупные онлайн-магазины с сотнями тысяч покупателей в месяц.
• Ну и, наконец, статистика. За 2022 год исследователям удалось найти почти десять тысяч сайтов с веб-скиммерами. Причем к концу года по-прежнему зараженными оставалась около четверти из них. Это показывает, что имплантированный веб-скиммер может оставаться на взломанном сайте месяцами, если не годами.

Как защититься от веб-скиммеров

Обезопасить процесс оплаты в Интернете поможет наше защитное решение. В нем работает технология «Интернет-защита», которая, в момент перехода на сайт, проверяет все объекты веб-трафика на известные и неизвестные угрозы. Если в HTML-коде или отдельном скрипте будет обнаружен веб-скиммер, то наш продукт предупредит пользователя о зловреде и не даст опасной странице загрузиться.