- Posts: 154
Une entitée de La Poste utilisée pour pirater
- Modérateur
-
Topic Author
- Offline
Less
More
5 years 8 months ago #1
by Modérateur
Des pirates ont réussi à infecter un mouchard publicitaire présent sur beaucoup de sites de marchands en ligne. Le code malveillant attendait que le visiteur fasse un achat pour exfiltrer ses données de cartes bancaires.
Le groupe Magecart a de nouveau frappé, et cette fois, l’e-commerce français est touché en plein cœur. Spécialisés dans le vol de données de cartes bancaires, ces pirates de haut vol ont réussi à modifier un code JavaScript de la régie publicitaire Adverline, une entreprise de Mediapost qui fait lui-même partie du groupe La Poste.
Comme expliquent les chercheurs en sécurité de Trend Micro, le code JavaScript d’Adverline est un mouchard publicitaire qui permet à ses clients de l’e-commerce de « taguer » leurs visiteurs. Ces derniers, quand ils navigueront sur la Toile, verront alors des publicités qui les inciteront à revenir dans leurs boutiques virtuelles. Une pratique très classique, mais particulièrement néfaste si le mouchard embarque également un malware. Celui-ci est alors instantanément diffusé sur un grand nombre de sites.
Plus de 14 000 transferts en une semaine
Quand il est exécuté dans le navigateur, le code malveillant de Magecart inspecte l’URL à la recherche de mots-clés tels que « panier », « paiement », « checkout » ou « billing ». Si c’est le cas, cela veut dire que le visiteur se trouve sur une page de paiement en ligne. Il va alors détecter le formulaire de carte bancaire et faire une copie de toutes les valeurs renseignées par le visiteur. Au moment de la validation, ces données sont codées en base64 et renvoyées vers un serveur contrôlé par les pirates. Cette méthode permet non seulement de récupérer le numéro et la date d’expiration de la carte, mais aussi le code de sécurité (CVV). Les pirates peuvent donc immédiatement réaliser des achats frauduleux en ligne.
Selon Trend Micro, le code vérolé d’Adverline s’est retrouvé sur au moins 277 sites e-commerce, du 1 au 6 janvier dernier. Sur cette période, Trend Micro a identifié plus de 14 000 transferts de données vers les serveurs de Magecart, donc probablement autant de numéros de cartes volées. La grande majorité de ce piratage s’est fait en France (78 %). Heureusement, le code JavaScript a été rapidement désactivé par le CERT La Poste, sinon les dégâts auraient été encore plus grands. 01net.com a tenté de contacter Adverline pour savoir comment les pirates ont pu insérer leur malware dans leur code JavaScript. Malheureusement, personne n’était joignable.
Ce n’est pas la première fois que Magecart agit de la sorte. En 2018, le groupe de pirates avait réussi à véroler les scripts de Feedify, un service de support en ligne utilisé par plus de 4 000 sites web. Il n’hésite pas non plus à s’attaquer directement aux sites e-commerce. Ticketmaster, British Airways et, plus récemment, le fabricant d’ustensiles de cuisine Oxo font partie de leur tableau de chasse. Jusqu’alors, la France était plus ou moins épargné par ces cybercrapules.
Pour se protéger contre ces attaques, un bon moyen est de souscrire un service de carte bancaire virtuelle ou « e-carte bleue ». Dans ce cas, la banque fournit au client un logiciel qui génère pour chaque achat en ligne un numéro de carte, une date d’expiration et un code CVV. Ces données sont à usage unique et ne peuvent donc pas être réutilisées pour un autre achat. Même si elles sont volées, ce n’est pas grave.
Gilbert KALLENBORN - 01 Net - vendredi 18 janvier 2019 (01net.com)
Une entitée de La Poste utilisée pour pirater was created by Modérateur
Une entitée de La Poste utilisée pour pirater des sites
Des pirates ont réussi à infecter un mouchard publicitaire présent sur beaucoup de sites de marchands en ligne. Le code malveillant attendait que le visiteur fasse un achat pour exfiltrer ses données de cartes bancaires.
Le groupe Magecart a de nouveau frappé, et cette fois, l’e-commerce français est touché en plein cœur. Spécialisés dans le vol de données de cartes bancaires, ces pirates de haut vol ont réussi à modifier un code JavaScript de la régie publicitaire Adverline, une entreprise de Mediapost qui fait lui-même partie du groupe La Poste.
Comme expliquent les chercheurs en sécurité de Trend Micro, le code JavaScript d’Adverline est un mouchard publicitaire qui permet à ses clients de l’e-commerce de « taguer » leurs visiteurs. Ces derniers, quand ils navigueront sur la Toile, verront alors des publicités qui les inciteront à revenir dans leurs boutiques virtuelles. Une pratique très classique, mais particulièrement néfaste si le mouchard embarque également un malware. Celui-ci est alors instantanément diffusé sur un grand nombre de sites.
Plus de 14 000 transferts en une semaine
Quand il est exécuté dans le navigateur, le code malveillant de Magecart inspecte l’URL à la recherche de mots-clés tels que « panier », « paiement », « checkout » ou « billing ». Si c’est le cas, cela veut dire que le visiteur se trouve sur une page de paiement en ligne. Il va alors détecter le formulaire de carte bancaire et faire une copie de toutes les valeurs renseignées par le visiteur. Au moment de la validation, ces données sont codées en base64 et renvoyées vers un serveur contrôlé par les pirates. Cette méthode permet non seulement de récupérer le numéro et la date d’expiration de la carte, mais aussi le code de sécurité (CVV). Les pirates peuvent donc immédiatement réaliser des achats frauduleux en ligne.
Selon Trend Micro, le code vérolé d’Adverline s’est retrouvé sur au moins 277 sites e-commerce, du 1 au 6 janvier dernier. Sur cette période, Trend Micro a identifié plus de 14 000 transferts de données vers les serveurs de Magecart, donc probablement autant de numéros de cartes volées. La grande majorité de ce piratage s’est fait en France (78 %). Heureusement, le code JavaScript a été rapidement désactivé par le CERT La Poste, sinon les dégâts auraient été encore plus grands. 01net.com a tenté de contacter Adverline pour savoir comment les pirates ont pu insérer leur malware dans leur code JavaScript. Malheureusement, personne n’était joignable.
Ce n’est pas la première fois que Magecart agit de la sorte. En 2018, le groupe de pirates avait réussi à véroler les scripts de Feedify, un service de support en ligne utilisé par plus de 4 000 sites web. Il n’hésite pas non plus à s’attaquer directement aux sites e-commerce. Ticketmaster, British Airways et, plus récemment, le fabricant d’ustensiles de cuisine Oxo font partie de leur tableau de chasse. Jusqu’alors, la France était plus ou moins épargné par ces cybercrapules.
Pour se protéger contre ces attaques, un bon moyen est de souscrire un service de carte bancaire virtuelle ou « e-carte bleue ». Dans ce cas, la banque fournit au client un logiciel qui génère pour chaque achat en ligne un numéro de carte, une date d’expiration et un code CVV. Ces données sont à usage unique et ne peuvent donc pas être réutilisées pour un autre achat. Même si elles sont volées, ce n’est pas grave.
Gilbert KALLENBORN - 01 Net - vendredi 18 janvier 2019 (01net.com)
Reply to Modérateur
Moderators: Modérateur