Une arrestation arrive aux trois individus accusés des attaques de MageCart
Au cours des trois derniers mois de l’année précédente, un pic d’attaques MageCart a été observé. Le plus tristement célèbre d’entre eux était celui de British Airways, où près de 400 000 personnes sont devenues les victimes en raison d’un morceau de code de 22 lignes. L’attaque a eu lieu entre le 7 et le 15 octobre, lorsque des pirates informatiques avaient injecté le code malveillant sur la page Web de paiement en ligne de l’entreprise. Maintenant, la police indonésienne a arrêté trois individus accusés d’appartenir au gang MegaCart.
Les pirates du gang MageCart impliquent de cibler les applications de panier trouvées sur les sites de commerce électronique. Ils utilisent le code malveillant pour ignorer les détails de la carte saisis par les clients – ce processus s’appelle Web Skimming ou eSkimming. Par la suite, les pirates peuvent utiliser la carte à toutes fins. En règle générale, ils les vendent sur le Darknet. Afin d’injecter du code malveillant dans le panier, ils compromettent le site de commerce électronique cible ou les applications tierces cibles.
Dans le cadre d’un effort combiné d’Interpol et de la police indonésienne, trois individus accusés d’attaques MageCart ont été arrêtés le 20 décembre 2019. Le public en a été informé lors d’une conférence de presse fin janvier 2020. En conférence de presse , les individus ont été identifiés par leurs initiales -ANF (27 ans), K (35 ans) et N (23 ans). Ils appartenaient à Jakarta et à Yogyakarta.
Selon les autorités indonésiennes, les attaques de MageCart contre douze sites Web de commerce électronique, pour la plupart européens. Cependant, des chercheurs de Sanguine Security ont attribué 571 cas différents au gang par une expression étrange «Success gan!» Utilisée par le gang. Cette phrase se traduit par «Success bro!» En anglais. La phrase a été présentée dans toutes les attaques attribuées au gang. Le gang a enregistré plusieurs domaines depuis 2017, les noms suggérant indiquant souvent où ils se trouvaient et leurs intentions.
Sur le radar
Outre la sécurité de Sanguine et les incendies de police, le groupe IB, une entreprise de sécurité, a également suivi le gang. Cette firme de sécurité est spécialisée dans la lutte contre les attaques MageCart. Le 27 janvier, il a publié un article sur l’opération Night Fury – un nom de code donné à l’opération policière pour arrêter les membres du gang. L’entreprise de sécurité a suivi le gang avec le nom GetBilling -name dérivé de l’une des fonctions utilisées dans le code JavaScript malveillant. Cette entreprise de sécurité a aidé les autorités à arrêter les individus. Les accusés ont été retracés jusqu’au paiement des appareils électroniques et des articles de luxe à l’aide des détails de la carte volée.
L’accusé a utilisé un VPN pour cacher son emplacement et son identité. Ils utilisent ce VPN pour récupérer les données des cartes volées à partir des serveurs de commande et de contrôle. L’accusé a également utilisé les détails de sa carte volée pour payer des services hostiles sur le Web afin de cacher son identité. Malgré leurs tentatives, les recherches ont en quelque sorte réussi à suivre l’emplacement des serveurs de commande et de contrôle vers des emplacements en Indonésie. Ces informations ont été utilisées pour l’arrestation. Espérons que d’autres membres d’un gang seront également arrêtés au cours du mois à venir.
Ce que le Groupe IB a noté du problème rencontré par les propriétaires de magasins de commerce électronique et les clients en raison des attaques MageCart: «le nombre de cartes compromises téléchargées sur des forums souterrains est passé de 27,1 millions à 43,8 millions au S2 2108-S1 2019 en glissement annuel . La taille du marché du cardage, à son tour, a augmenté de 33% et s’est élevée à 879,7 millions de dollars. La vente de données CVV est également en hausse aujourd’hui, ayant augmenté de 19% au cours de la période correspondante, et l’une des principales raisons de cette tendance pourrait être les renifleurs JavaScript. »
La directive fournie par l’entreprise de sécurité pour éviter les pertes financières résultant d’une telle attaque:
«Pour éviter de grosses pertes financières dues aux renifleurs JS, il est recommandé aux utilisateurs en ligne d’avoir une carte prépayée distincte pour les paiements en ligne, de fixer des limites de dépenses sur les cartes, utilisées pour les achats en ligne, ou même d’utiliser un compte bancaire séparé exclusivement pour les achats en ligne. achats. Les commerçants en ligne, à leur tour, doivent maintenir leur logiciel à jour et effectuer des évaluations régulières de la cybersécurité de leurs sites Web. »