Ataque Magecart e as fraudes de cartão de crédito

O cartão de crédito é um dos meios de pagamento mais utilizados no mundo; e em virtude disso, um dos mais visados para aplicação de golpes e fraudes.

Segundo levantamento do SPC em parceria com o Sebrae realizado em 2020, 59% dos entrevistados vivenciaram algum tipo de fraude e 24% dos consumidores tiveram seus cartões clonados.

Uma boa parte dos casos de golpes e fraudes podem ser originados de descuidos ou incidentes causados por usuários. Por esta razão, é essencial que as Companhias pratiquem as melhores práticas em segurança da informação, adotem uma política de conscientização cibernética continua para seus funcionários e clientes, além de soluções eficazes para validação de identidade, que é o objeto de desejo do cibercriminoso.

Veja no artigo de hoje o que é o Magecart, como ele opera e algumas dicas para evitar este tipo de ataque.

O que você vai ver neste post

O que é o Magecart

Magecart é o nome dado a um grupo de hackers que realiza skimming de dados, utilizando o navegador do usuário como porta de entrada para interagir com ele de forma maliciosa.

O que é o Skimming

O Skimming é um método usado por invasores para capturar informações confidenciais de formulários de pagamento online, como endereços de e-mail, senhas e números de cartão de crédito. 

Como foi descoberto

Se tornou relevante no ano passado, através da execução de uma campanha de clonagem de cartão de crédito que causou uma violação na Ticketmaster, colocando em risco as informações de seus clientes. Além da Companhia de entretenimento, também foram atingidas a British Airways e a NewEgg.

O ataque contra a Ticketmaster

1. Como começou: Neste incidente, um provedor terceirizado de serviços de chatbot conhecido como Inbenta Technologies, usado pela Ticketmaster para responder de forma humanizada as perguntas dos usuários, foi comprometido pela Magecart, que inseriu JavaScript malicioso no código JavaScript da Inbenta, que estava no código do site da Companhia de entretenimento.

2. Acesso privilegiado não gerenciado: É através do navegador do cliente que os sites exibem e capturam dados de clientes e pagamentos. Quando o Javascript malicioso era executado no navegador, recebia acesso ilimitado e não gerenciado a toda página web, podendo modificar e até substituir o código.

3. Skimmer/ Keylogger: Funcionando como um skimmer de cartão de crédito ou keylogger, extrafiltrando dados e podendo, inclusive, alterar o conteúdo da página web, pois o invasor conseguia o mesmo nível de acesso a todos os elementos da página da Web que a equipe de desenvolvimento do proprietário do site.

4. Roubo de informações: Neste caso, ele enviava toda informação digitada no site para o invasor, permitindo que fossem roubadas informações como nome do cliente, endereço, e-mail e número de telefone, bem como os dados do cartão de crédito, à medida em que as pessoas inseriam credenciais. Ele também coletava qualquer senha (muitas lojas online permitem que os clientes registrem uma conta), o agente do usuário do navegador e um ID de usuário exclusivo.

5. Observação final: É importante salientar que, embora a violação da Ticketmaster tenha ganhado notoriedade, pode não ter sido a única, uma vez que qualquer cliente que usava o código Inbenta na época poderia ter sido afetado.

A dificuldade da identificar este tipo ataque

Quanto uma parte do código é de terceiros, o JavaScript é executado em servidores remotos externos, e aparece na página do cliente.

Isso torna as abordagens de segurança atuais, como revisão periódica de código, testes de segurança de aplicativos, incapazes de impedir esses ataques.

Como as conexões do cliente com servidores externos são completamente não gerenciadas e em grande parte não monitoradas, a empresa não tem visibilidade do que os terceiros estão fazendo e não tem como impedir que hackers explorem maliciosamente esse acesso.

Quase todos os sites corporativos estão vulneráveis ​​a esse vetor de ataque.

O que fazer para evitar

  1. Controlar o acesso e as permissões de todos os fornecedores de JavaScript de terceiros executados em páginas da web. A medida isolaria os sites, seus visitantes e dados privados de clientes dos comportamentos inadequados ou indesejados de terceiros e das atividades maliciosas de hackers que buscando explorá-los, além de ajudar no cumprimento dos requisitos da LGPD.
  2. Aderir a uma política de segurança de conteúdo. A ação permitirá que os administradores especifiquem os domínios que o navegador deverá considerar como fonte válida de dados. Isso garante que apenas o JavaScript recebido de domínios da lista de permissões seja executado. Embora a medida ajude a trazer mais segurança para o site, não mitigará uma violação proveniente de um domínio que esteja na lista de permissões.
  3. Adicionar o Sub-Resource Integrity (SRI) ao JavaScript. Este hash criptográfico permitirá que os navegadores verifiquem se os arquivos que eles buscam são entregues sem manipulação inesperada. Isso fornece um caminho para garantir que o JavaScript malicioso não seja carregado de terceiros comprometidos. O contra para esta medida é que o SRI é complexo para aplicar ao código JavaScript dinâmico.

Impedir o acesso indevido é a melhor defesa

É importante que a Companhia tenha uma solução que intercepte todas as chamadas de API que o site faz ao navegador, bloqueando o acesso não autorizado a dados confidenciais. Assim impedirá que qualquer script malicioso, ou script de terceiros não crítico, obtenha acesso às informações que seus clientes insiram no site. 

É desejável também que tenha um componente de monitoramento para alertar as tentativas de acesso às informações confidenciais, além de um sistema proativo de proteção da web.

Zero Trust: menos privilégios e mais proteção de dados

O VaultOne é uma solução baseada no modelo Zero Trust, com políticas e diretrizes para garantir que apenas os usuários certos, com os privilégios certos, acessem os dados e recursos da empresa a partir de redes e dispositivos confiáveis.

Fale com nossos especialistas e como o VaultOne pode ajudar sua Companhia a se protege o acesso aos dados corporativos.