Aby zločinci nalákali nové obete, často vymýšľajú schémy, ktoré sa snažia vyzerať čo najrealistickejšie.

Po tomto konštatovaní sa nestáva každý deň, aby podvodná kópia prekonala originálny kus. Pri sledovaní prebiehajúcej kampane podvodov kreditných kariet odborníkov takmer oklamal platobný formulár, ktorý vyzeral tak dobre, že si mysleli, že je skutočný. Aktér hrozby použil originálne logá z napadnutého obchodu a prispôsobil webový prvok, aby dokonale uniesol stránku s pokladňou. Hoci technika vkladania rámov alebo vrstiev nie je nová, pozoruhodné tu je, že podvod vyzerá autentickejšie ako pôvodná platobná stránka. Výskumníkom sa podarilo spozorovať niekoľko ďalších kompromitovaných stránok s rovnakým vzorom používania prispôsobeného a podvodných prvkov. Tento podvod a súvisiace kampane predstavujú jeden z najaktívnejších útokov, ktoré sme v posledných mesiacoch sledovali.

Odborníci identifikovali kompromitované webstránky parížskeho obchodu s cestovnými doplnkami, ktoré bežali na systéme CMS PrestaShop. Podvod, ktorý predtým identifikovali bol injektovaný a načítal škodlivý JavaScript, ktorý zmenil proces pokladnice. Vidíme tu použitie formulára, čo je prvok webovej stránky zobrazený pred aktuálnou aktívnou stránkou. Vypína a zosvetľuje pozadie, aby sa používateľ mohol namiesto toho sústrediť na prezentovaný prvok. Ide o elegantný spôsob, ako môžu majitelia webstránok udržať svojich zákazníkov na tej istej webovej lokalite a nechať ich komunikovať s iným formulárom. Problémom je, že ten je úplne falošný a je navrhnutý na krádež údajov o kreditnej karte. Môže to znieť ťažko uveriteľne vzhľadom na to, že všetko zodpovedá pôvodnej značke a dojmu z webu.

Skutočný platobný tok pre tohto obchodníka spočíva v presmerovaní používateľov na spracovateľa tretej strany, ktorého hostiteľom je Dalenys, ktorá je teraz súčasťou francúzskej Payplug, ktorá poskytuje platobné riešenia. Namiesto zobrazenia modálneho okna sa teda načíta webstránka spracovateľa platieb, aby mohol používateľ zadať svoje bankové údaje. Po ich overení sa vráti na stránku obchodníka. Škodlivý modul je vytvorený veľmi čisto a obsahuje animáciu, ktorá uprostred zobrazí logo obchodu a potom ho presunie späť nahor. Musíme uznať, že ide o veľmi dobre spracovaný podvrh, ktorý je v skutočnosti plynulejším používateľským zážitkom ako predvolený obchod. Mali by sme tiež poznamenať, že autor škodlivého softvéru sa nielen dobre vyzná vo webovom dizajne, ale používa aj správny jazyk (francúzštinu) pre každé pole formulára.

Všimli sme si však malú chybu v hypertextovom odkaze pre Politique de confidentialité (podmienky používania). Tento odkaz presmeruje na podmienky používania pre Mercardo Pago, spracovateľa platieb používaného v Južnej Amerike. Je pravdepodobné, že aktér hrozby skopíroval údaje z predchádzajúcej šablóny a nevšimol si svoju chybu. Ide len o detail, ktorý vôbec neovplyvňuje funkčnosť podvrhu. Znovu sme vytvorili platobný tok z pohľadu zákazníka nakupujúceho prostredníctvom tohto kompromitovaného obchodu. Vidíme, že po výbere možnosti platby kreditnou kartou sa načíta škodlivý modul, ktorý získa údaje o jeho platobnej karte. Následne sa zobrazí falošná chyba s krátkym textom „votre paiment a été annulé“ (vaša platba bola zrušená) a až potom je používateľ presmerovaný na skutočnú platobnú adresu URL. Pri druhom pokuse platba prebehne a obete si neuvedomia, čo sa práve stalo. Ide tak o veľmi šikovne navrhnutý podvod na zákazníkov…

Zdroj