O que é e como funciona o ataque Magecart?

O que é e como funciona o ataque Magecart?

Proteja seu e-commerce do skimming

Você já teve problemas com roubo de dados de cartão de crédito? Se ainda não, infelizmente, a chance de isso acontecer um dia é grande. Esse tipo de problema se tornou tão comum que os profissionais de TI deram a ele um nome: ataque Magecart.

Magecart é um tipo de ciberataque onde os hackers implantam um código malicioso em sites e fornecedores terceirizados de sistemas digitais para roubar informações de cartão de crédito quando as pessoas acessam, mais especificamente, a página de checkout em uma compra. 

A prática do roubo digital de informações de cartões de crédito, conhecida como skimming, não é novidade. Porém o skimming do Magecart é um método cada vez mais frequente e bem sucedido.

Em 2018, muitos varejistas online de grande porte revelaram que seus sites foram infectados por hackers Magecart, entre eles a Ticketmaster e a British Airways. Aqui no Brasil, embora não tenha sido confirmado pela empresa, correu o boato de que o site de milhas de viagens Livelo foi recentemente infectado pelo Magecart.

O navegador do cliente é a porta de entrada para o ataque Magecart. É lá onde os dados pessoais são exibidos, inseridos e depois recebidos pelos fornecedores.  Normalmente, os ataques de skimming de dados, como o Magecart, seguem um padrão de 3 etapas: 

1- Acessar o site 

Existem duas maneiras pelas quais os hackers obtêm acesso a um site e colocam seu código de verificação. Eles podem invadir a infraestrutura ou o servidor e colocar o skimmer. Ou então, buscarem os fornecedores terceirizados e infectar uma tag de terceiros que executará um script mal-intencionado no site quando ele for chamado no navegador.

O último modo de ataque é o mais comum, já que a maioria dos sites de hoje geralmente utiliza serviços de terceiros e seu código para captura e processamento de dados. 

Também é mais fácil para os cibercriminosos passarem despercebidos, porque o código de terceiros não é executado por meio da infraestrutura interna ou dos controles de segurança. É por isso que o Magecart conseguiu inserir 22 linhas de código no site da British Airways e roubar dados de 385.000 passageiros. Demorou 15 dias antes que a violação fosse detectada.

2- Conseguir informações confidenciais de formulários

Embora existam muitas maneiras para capturar dados, o código de skimming é sempre algum tipo de JavaScript que atua coletando informações pessoais. Estas são as três maneiras comuns de ocorrer o skimming:

  • Keylogging: Vigiar todos os toques de teclado, filtrá-los e preservar apenas os dígitos que se deseja capturar. Por exemplo, quando há um número de 12 dígitos seguido por um código de data, isso é possivelmente um número de cartão de crédito.
  • Envios de formulários para sniffing: rastrear cliques em um botão de envio ou um evento de envio de formulário e, em seguida, rastrear todos os campos do formulário.
  • Form jacking: troca de um campo em um formulário real com um campo infectado que envia as informações para uma fonte incorreta ou renderiza uma versão falsa de um formulário em cima do formulário real.

Basicamente, esses três scripts de rastreamento pedem ao navegador para compartilhar o que os consumidores estão digitando em uma página ou formulário. Uma vez que o JavaScript é carregado, ele tem acesso a todos os mesmos recursos e todas as mesmas informações que o JavaScript primário.

3- Enviar as informações roubadas de volta ao servidor

Esta é a parte mais simples de todo o processo. Uma vez que os hackers tiveram acesso ao site e coletaram os dados desejados, só falta enviar os dados aos criminosos.

Os invasores podem enviar informações para si mesmos de várias formas: solicitações POST, GET ou de imagem que são enviadas para domínios com proxy disfarçados como domínios legítimos. 

Por exemplo, quando o e-commerce americano Newegg sofreu um ataque de Magecart, as informações roubadas estavam sendo enviadas para um domínio registrado www.neweggstats.com, que se misturava ao domínio principal do site.

O que fazer para impedir o ataque Magecart?

Em um mundo ideal, os serviços de terceiros usariam os bons protocolos de segurança em sua infraestrutura. Mas a triste realidade é que muitos terceiros não fazem isso. 

E, ainda mais preocupante, os ataques de Magecart podem acontecer seguidamente no mesmo e-commerce já invadido. Na verdade, 1 em cada 5 lojas on-line infectadas é reinfectada novamente dentro de 10 dias.

A melhor defesa contra ataques Magecart é impedir o acesso. Um bom controle de tags pode interceptar todas as chamadas da API que o site faz ao navegador e bloquear o acesso a dados confidenciais. Isso impede que um script mal-intencionado ou de terceiros tenham acesso a qualquer informação que o cliente digite no site.

Quer saber tudo sobre o mundo da tecnologia? Então não deixe de seguir o blog da Control F5 TI.

Compartilhe esse post

Facebook
Twitter
LinkedIn
WhatsApp
Email

Cadastre-se em nossa newsletter

Conheça mais de nossos posts!