De acordo com pesquisadores da Microsoft, pode-se observar uma tendência preocupante no roubo de cartões de crédito online. Os criminosos responsáveis pelas práticas estão utilizando técnicas mais avançadas para esconder códigos capazes de roubar as informações financeiras em arquivos utilizados em populares aplicativos web.
A nova técnica, conhecida como skimming, envolve a utilização de códigos JavaScript maliciosos em marketplaces vulneráveis. Alguns destes são construídos em WordPress, para a exfiltração de dados de cartões de crédito para os controladores da ameaça. O programa malicioso é normalmente ativado quando o usuário chega no checkout da compra.
Detecção de segurança
Por padrão, as soluções de segurança devem detectar este tipo de ameaça, mas os pesquisadores da Microsoft identificaram que os criminosos desses golpes estão utilizando novas táticas, como esconder o código em imagens, para escapar dos alertas.
Nesses casos, as imagens maliciosas são inseridas nos sites vulneráveis disfarçadas de favicons (as imagens que aparecem no nome do site na aba do navegador). Elas contam com scripts PHP que, por padrão, não são executados pelo servidor web.
Contudo, no caso da ameaça para os cartões de crédito, essas foram feitas de tal forma que eles sempre são carregados a cada acesso da página, identificando quando a página de checkout é aberta e então trocando a form para inserção de dados do cartão por uma opção falsa, utilizada para exfiltração das informações.
Ataques de phishing
Além do roubo de dados dos cartões de crédito, ataques de phishing por e-mail ganharam uma etapa a mais com o uso de chats de atendimento fraudulentos, voltados ao roubo de dados a partir dos sites falsos. Esta prática foi usada em golpes contra clientes da DHL, uma das principais empresas globais de frete. Os ataques ocorreram contra usuários falantes do inglês.
Começa como toda campanha do tipo, com um e-mail sobre problemas em um pacote. As mensagens são disseminadas em massa por endereços similares aos oficiais e acompanham o link para um site igualmente falso, que simula o design oficial da DHL. Contudo, o detalhe é que a URL se encontra dentro de um PDF que precisa ser aberto e, por si, não representa perigo, servindo somente para evitar a detecção por plataformas de segurança.
O site usado pelos golpistas simula uma plataforma de atendimento e usa o bot de chat para se comunicar com o usuário, informando sobre problemas na leitura de etiquetas no pacote esperado. A partir daí são solicitados dados pessoais como nome completo, endereço e número de telefone.
Com o fim do atendimento o usuário é levado a uma página onde as credenciais de sua conta na DHL devem ser inseridas, assim como informações de cartão de crédito para pagamento de uma nova taxa de remessa, pronto, está indo para a mão dos golpistas.
Roubo de cartões de crédito vai além de imagens maliciosas
Os pesquisadores da Microsoft também identificaram mais dois métodos que estão sendo utilizados pelos criminosos para roubo de dados de cartões de crédito. O segundo utiliza strings de código que fazem com que sempre que a página de checkout é identificada, os servidores carregam as ferramentas de exfiltração de outros domínios, deste modo dificultando a detecção.
Já o terceiro disfarça os códigos como rastreadores do Google Analytics ou Meta Pixel, fazendo com que a detecção não ocorra por estarem no meio de funções que fazem parte dos sistemas e estruturas normais dos sites.
Dado o contexto destes métodos, os pesquisadores da Microsoft recomendam que, para proteção dos sites, os administradores tenham certeza que estão executando as versões mais atualizadas dos plugins da página. Além disso, a empresa orienta que seus clientes utilizem cartões de crédito virtuais ou outros métodos de pagamento para diminuir a chance do roubo de informações.