Cientos de tiendas en línea filtran datos de pago de los clientes

Durante un reciente ciberataque a un gran número de tiendas en línea que utilizan la plataforma Magento, se insertó un skimmer en los sitios web, el cual robaba los datos de las tarjetas de pago de los compradores, incluyendo el número de la tarjeta, la fecha de vencimiento y el código CVV/CVC. Los especialistas de Malwarebytes explicaron en detalle cómo los hackers lograron robar esta información.

Los atacantes aprovecharon una vulnerabilidad en el sistema Magento para inyectar código malicioso en las páginas de pago. El código era una simple línea de script que cargaba contenido desde un sitio remoto. Los hackers crearon varios sitios web a través de los cuales recopilaban los datos robados. El análisis reveló que al menos varios cientos de tiendas en línea fueron comprometidas.

El malware se activaba durante la introducción de los datos de la tarjeta en la página de pago. En el momento en que el comprador ingresaba su información, el skimmer la interceptaba y la enviaba a los servidores de los atacantes. En uno de los casos, una tienda utilizaba una empresa externa para procesar los pagos, pero el skimmer interceptaba los datos ingresados antes de que llegaran al procesador.

Página de pago falsa (izquierda) y real (derecha)

Los especialistas lograron bloquear más de 1,100 intentos de robo de datos, lo cual fue posible gracias a la identificación y la inclusión en la lista de amenazas de varias docenas de dominios maliciosos utilizados por los hackers para recopilar datos.

Los skimmers digitales son difíciles de detectar, ya que se integran en las páginas de pago legítimas sin despertar sospechas en los usuarios. Para identificar estas amenazas, es necesario monitorear de cerca el tráfico de red o utilizar herramientas de desarrollador para analizar la página.

Ejemplo de inyección de código en una tienda en línea

Las tiendas afectadas ya han tomado medidas para eliminar el código malicioso o han suspendido temporalmente sus operaciones. Sin embargo, algunos de los sitios comprometidos siguen bajo amenaza.

Es importante señalar que el robo de datos mediante skimmers puede resultar no solo en la filtración de información financiera, sino también de datos personales, como direcciones de correo electrónico, domicilios y números de teléfono. En caso de sospecha de filtración de datos, se recomienda a los usuarios que se comuniquen con su banco para solicitar la reemisión de la tarjeta y consideren la posibilidad de utilizar programas de protección de identidad.

En julio, los especialistas de Sucuri descubrieron un nuevo método de robo de datos en la plataforma de comercio electrónico Magento. Los atacantes utilizan archivos Swap (archivos de intercambio) para inyectar malware persistente que roba datos de tarjetas de crédito. Este método aumenta significativamente la durabilidad del código malicioso en el sistema infectado, permitiéndole sobrevivir a numerosos intentos de eliminación.