credit-card

Dal blog di Malwarebytes Lab, si apprende che un gran numero di siti di e-commerce vengono attaccati tramite vulnerabilità comuni o furto di credenziali e dati di pagamento. Le vittime dopo aver fatto un acquisto su questi siti compromessi con uno skimmer web, possono consegnare inconsapevolmente i seguenti dati:

  • credenziali d’accesso;
  • indirizzo di residenza;
  • numero della carta di credito;
  • scadenza della stessa e CVV.

I predetti skimmer sono opportunamente offuscati e possono essere rilevati con un’adeguata analisi. Inoltre gli stessi esfiltrano i sopraelencati dati tramite un messaggio istantaneo inviato a un canale privato di Telegram. Sotto puoi vedere la rappresentazione dell’attacco in questione:

diagram_skimmer

Non è la prima volta che viene utilizzato Telegram per questi scopi, ne abbiamo parlato anche nel nostro precedente articolo. Nella presente analisi,  l’autore dello skimmer ha codificato l’ID e il canale del bot, nonché la richiesta API di Telegram con una semplice codifica Base64:

L’esfiltrazione dei dati inizia solo se l’URL del browser contiene una parola chiave riferita ad un sito di e-commerce e quando l’utente convalida l’acquisto. I dettagli del pagamento verranno quindi inviati sia al sito utilizzato per l’acquisto che ai cybercriminali. Di seguito un esempio di un acquisto e conseguente furto di dati:

furto_telegram

Lo scambio fraudolento di dati avviene tramite l’API di Telegram, che pubblica i dettagli di pagamento in un canale privato. Questo meccanismo elimina la necessità di un’infrastruttura dedicata a questo scopo, che potrebbe essere bloccata a seguito di analisi o segnalazione alle autorità.

FONTE: Malwarebytes Lab.

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi