Milhares de lojas online comprometidas para roubo de dados de cartão de crédito

Esquema afecta pelo menos oito sites com endereço online registado em Portugal.

Quase 6.000 lojas online foram comprometidas por hackers, que acrescentaram um código especialmente concebido para o efeito e que intercepta e rouba dados do cartão de pagamento. No domínio .pt, estão referenciados oito sites.

Estes ataques de clonagem online foram descobertos pelo investigador holandês Willem de Groot há um ano. Nessa altura, ele encontrou 3.501 lojas com um código JavaScript malicioso. No entanto, em vez de melhorar, a situação só piorou.

Até Março passado, o número de lojas infectadas cresceu quase 30%, para 4.476. Em Setembro, chegou a 5.925. Mais de 750 lojas online que involuntariamente passaram detalhes dos cartões de pagamento para os atacantes em 2015 ainda estão a fazer o mesmo actualmente, já que este tipo de actividade pode passar despercebida durante meses, escreveu de Groot.

Os dados sugerem haver vários grupos envolvidos na clonagem online. Enquanto em 2015 existiam variantes do mesmo código malware, actualmente existem três famílias de malware distintas, com um total de nove variantes.

“O primeiro malware apenas afectava páginas que tinham o ‘checkout’ no URL”, disse o investigador. “As versões mais recentes também verificam ‘plugins’ de pagamento populares, como o Firecheckout, o Onestepcheckout e o Paypal”.

O código malicioso é escondido e implementado utilizando vulnerabilidades conhecidas em soluções de gestão de conteúdos ou software de comércio electrónico que os proprietários de sites não conseguiram resolver.

O que é pior é que alguns donos deste tipo de lojas não parecem compreender a gravidade desta situações ou o seu impacto. De Groot dá alguns exemplos das piores respostas que recebeu de empresas quando tentou informá-las.

“Não nos importamos, os nossos pagamentos são processados por um fornecedor terceiro de pagamento”, disse um proprietário não nomeado.

“A nossa loja é segura porque usamos HTTPS”, disse outro.

O HTTPS protege contra ataques “man-in-the-middle”, em que o atacante está numa posição na rede para interceptar o tráfego entre um utilizador e um servidor. No entanto, neste caso, o código malicioso é executado no próprio servidor e é servido por HTTPS, pelo que é possível ver as informações que os utilizadores introduzem nos sites.

Quanto a usar um processador de pagamento de terceiros, “se alguém pode injectar Javascript num site, é provável que a sua base de dados também seja afectada”, explicou de Groot.

Alguns proprietários das lojas afectadas estão a tomar medidas, com 334 a resolverem o problema num período de 48 horas. Por outro lado, no mesmo período, 170 novas lojas foram atacadas.

De Groot publicou a lista dos 5.478 sites comprometidos no Gitlab, onde constam oito sites registados em .pt, desde o airosa.pt (cuja conta aparece como suspensa quando se tenta aceder ao endereço) ao youngers.pt.

A lista, actualizada na passada sexta-feira 14 de Outubro, inclui sites desde o 00-lawyer.com ao zzmedical.com.

Autores
O seu comentário...

*

Top