Около 1,5 млн человек в день рискуют потерять свои деньги из-за JavaScript-снифферов, когда делают заказы в онлайн-магазинах. Этот класс вредоносного кода плохо изучен, а торговля JS-снифферами и полученными с их помощью данными ведется на подпольных форумах в даркнете. Международная компания Group-IB, специализирующаяся на предотвращении кибератак, выпустила отчет, посвященный угрозе (есть в распоряжении Inc).
JS-сниффер – онлайн-аналог скиммера, миниатюрного устройства, перехватывающего данные банковской карты пользователя в банкомате. Чтобы сделать то же самое онлайн, мошенники внедряют несколько строк вредоносного кода на сайт. Это позволяет им перехватывать вводимые пользователем данные: номера банковских карт, имена, адреса, логины, пароли и другие.
Специалисты Group-IB проанализировали 2440 зараженных JS-снифферами онлайн-магазинов. Суммарная аудитория этих сайтов — 1,5 млн человек в день — постоянно рискует поделиться своими данными с преступниками. В некоторых случаях мошенникам достаточно просто перехватить данные, в других — использовать поддельную платежную форму, которая подгружается с другого скомпрометированного сайта. Форма предлагает пользователю оплатить покупку при помощи кредитной карты или через PayPal. Если пользователь выбирает PayPal, сайт сообщает, что сейчас этот способ оплаты недоступен, и тогда покупатель все равно делится данными карты.
дмитрий волков
CTO Group-IB
«При заражении сайта в цепочку пострадавших вовлечены все — конечные пользователи, платежные системы, банки и крупные компании, торгующие своими товарами и услугами через интернет. Тот факт, что об инцидентах и ущербе, нанесенном JS-снифферами до сих пор почти ничего неизвестно, говорит о слабой изученности этой проблемы и позволяет группам, создающим снифферы для воровства денег онлайн-покупателей, чувствовать себя безнаказанными».
Полученные данные злоумышленники, как правило, продают на специализированных форумах в даркнете. За одну карту они получают от 1$ до 5$, реже – 10$-15$. Значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников, отмечают в Group-IB. По усредненным подсчетам, доход мошенников может составлять «сотни тысяч долларов в месяц», говорится в отчете.
Однако зарабатывают киберпреступники и на продаже самих JS-снифферов — их стоимость составляет от $250 до $5 тыс. на подпольных форумах. В некоторых случаях продавец и покупатель становятся партнерами. Клиент предоставляет доступ к скомпрометированному онлайн-магазину и получает процент от дохода, а создатель вредоносного кода отвечает за серверы для хостинга, техподдержку и административную панель для клиента.
Аналитики долгое время не уделяли должного внимания JS-снифферам. Этот класс вредоносного кода начали изучать после нескольких громких инцидентов. Например, таким способом были украдены данные 380 тыс. пользователей сайта и приложения авиакомпании British Airways. Также были скомпрометированы платежные данные американского дистрибутора билетов Ticketmaster и посетителей британского сайта спортивного гиганта FILA. В последнем случае риску подверглись 5600 покупателей.
Подписывайтесь на наш канал в Telegram: @incnews