Conseguir «colar» un skimmer en una tienda online es, sin duda, uno de los objetivos más perseguidos por ciberdelincuentes y organizaciones dedicadas a la robo en Internet. Es algo lógico, ya que obtener los datos de pago de todos los clientes que pasen por la misma es, todavía en bastantes casos, una puerta abierta a la cuenta corriente o a la línea de crédito de las víctimas. Y es por ello que hay algunos grupos que se especializan en este tipo de ataques,
El investigador de seguridad Max Kersten acaba de publicar, en su web, los resultados sobre datos que ha recopilado sobre un ataque de este tipo. Y ,a conclusión es, sin duda, preocupante, porque habla de de más de 1.200 tiendas comprometidas. Una acción que, aunque Kersten no lo confirma, sí que apunta a que tendría detrás al peligroso grupo MageCart. Un actor al que ya conocemos de anteriores acciones, como la mencionada en la noticia que citamos anteriormente o ataques muy sonados, como los sufridos por Brithish Airways o Ticket Master, entre otros.
Según el investigados los skimmers son, técnicamente hablando, bastante sencillos y semejantes entre sí. La captura de datos se realiza obteniendo todos los formularios o todos los campos de entrada, obteniendo el dominio actual, codificando los datos y enviando posteriormente los datos al servidor del atacante. Esto, por norma general, suele hacer más complejo averiguar quién se encuentra tras los ataques que con otro tipo de patógenos más complejos.
En el caso de la operativa habitual de MageCart, los skimmers a menudo se alojan en sitios web haciendo uso de una biblioteca JavaScript de terceros que se ha visto comprometida, o mediante una biblioteca JavaScript que solo contiene skimmer y que se encuentra en un dominio que es propiedad de la organización. Los datos introducidos en el formulario de pago (incluidos los de la tarjeta de crédito) se copian y se envían a un servidor controlado por el atacante justo antes de que sean remitidos al sistema de pago online.
Parte de las tiendas recogidas por Kersten en su informe ya habían sido documentadas por otros investigadores previamente. Según afirma en el mismo informe, en el que cita explícitamente a esas personas y entidades, ha sido agregar toda esa información, más la recopilada por él mismo, en un único punto, que facilite la localización de todos los sitios afectados por el skimmer. Algo especialmente útil para los usuarios, que una sola página podrán revisar si alguna de las tiendas online que han empleado se encuentra en la lista.
Para cada sitio afectado (la lista completa se puede ver en el informe) se muestra el periodo de tiempo en el que se realizaron las pruebas. Algunas datan de 2018, mientras que otras son de las últimas semanas. A más antigüedad, más posibilidades de que el problema haya sido solventando, pero esto no es una garantía. He revisado algunas de ellas y, por su diseño, pese a que se mantienen operativas, no parecen haber experimentado cambios (al menos en su diseño) desde hace bastante tiempo. El skimmer podría seguir ahí.
La entrada Detectadas más de 1.200 tiendas online afectadas por un skimmer es original de MuySeguridad. Seguridad informática.