Эксперты по информационной безопасности из компании Malwarebytes рассказали о новой схеме кражи данных карт пользователей с использованием популярного мессенджера Telegram.
Злоумышленники встраивают вредоносное программное обеспечение или веб-скиммер в онлайн-магазины. Когда пользователь вводит свои данные на таком сайте, программа захватывает информацию в реальном времени и отправляет ее хакерам через «шлюз». Обычно «шлюз» представляет собой домен или IP-адрес, на который киберпреступники отправляют украденные данные клиентов.
В новой схеме веб-скимминга, хакеры получают украденные данные через платформу обмена мгновенными сообщениями Telegram. Имя, адрес, номер кредитной карты, срок действия и CVV пропускаются через мгновенное сообщение, отправленное на частный канал Telegram.
Цифровые магазины атакуют либо через распространенную уязвимость, либо через кражу учетных данных. Неосведомленные покупатели могут посетить сайт, который был взломан с помощью веб-скиммера, и совершить покупку, неосознанно передавая данные своей карты преступникам.
В некоторых случаях хакеры пользуются законными программами и службами, встраиваясь в обычный трафик, чтобы их было сложнее отследить и заблокировать. Для злоумышленников этот механизм кражи данных эффективен и не требует поддержки инфраструктуры. Они даже могут получать уведомление в реальном времени о каждой новой жертве, чтобы сразу продавать информацию на подпольных рынках.
Пока эксперты идентифицировали только несколько интернет-магазинов, в которых злоумышленники пользовались этой схемой. Однако в Malwarebytes не исключают, что их может быть больше.