Официальный сайт британского подразделения Casio (casio.co.uk) стал жертвой кибератаки, которая позволила украсть данные пользователей.
Инцидент стал частью масштабной кампании веб-скимминга, которая на данный момент выявлена как минимум на 17 сайтах, работающих на платформе Magento или аналогичных решениях. Вредоносный код был активен на сайте Casio с 14 по 24 января, а 28 января код обнаружили ИБ-специалисты. В течение суток после уведомления компания устранила угрозу.
Вредоносный скрипт был встроен в главный код сайта и отличался от стандартных методов веб-скимминга. Обычно такие атаки направлены на страницу оплаты, но в данном случае вредоносное ПО охватило все страницы сайта, за исключением “/checkout”. Это позволило мошенникам собирать данные пользователей до перехода к оплате. При попытке оформить заказ через корзину появлялась поддельная форма ввода данных, которая маскировалась под стандартное оформление покупки.
Фальшивая форма запрашивала адрес, телефон, имя, и данные банковской карты. Введённая информация передавалась на удалённый сервер с использованием шифрования AES-256-CBC. Уникальность атаки в том, что после ввода всех данных пользователь получал сообщение об ошибке и перенаправлялся на настоящий раздел оформления заказа, где ему вновь предлагалось заполнить поля оплаты. Такой метод известен как Так злоумышленники, не вызывая подозрений, получают доступ к конфиденциальной информации, такой как адреса для выставления счетов, номера кредитных карт, сроки их действия, CVV-коды, номера телефонов и адреса электронной почты.