O Natal está quase chegando. Nesse período do ano, parece que tudo fica mais bonito. As lojas são decoradas para atrair mais clientes e as vendas aumentam. No mundo virtual, os e-commerces também recebem um número maior de visitantes. Com isso, as vendas e os lucros dos donos de lojas virtuais aumentam significativamente. Na teoria, nada pode ser melhor.
Para aqueles que se juntaram ao lado negro da força, no entanto, as oportunidades de ganhar dinheiro à custa do trabalho alheio também parecem ficar mais atraentes no final do ano. Os hackers aproveitam o aumento no tráfego de sites e-commerce para encherem sua caixinha de Natal. E, claro, com isso os ataques de roubo de dados de cartão de crédito aumentam muito.
Pensar em ter os dados bancários dos seus usuários roubados bem na hora em que vão finalizar uma compra no seu site parece um pesadelo.
O pior é que a maioria dos proprietários de sites somente percebem que seus clientes estão sendo ludibriados quando já é tarde demais – após muitos usuários terem sofrido com o roubo de suas informações confidenciais.
A confiança na sua marca pode ser prejudicada e suas vendas simplesmente zerarem, logo no Natal.
Neste post, vou explicar o que são os ataques de phishing e mostrar alguns ataques em sites e-commerce que a Sucuri ajudou a resolver nos últimos meses. Saber quais são as técnicas empregadas pelos hackers ajuda a proteger seu negócio online.
Ataques de phishing em sites de comércio eletrônico
Você já deve saber, mas nunca é demais relembrar: phishing é o processo no qual o atacante confunde o cliente online para que este compartilhe informações confidenciais. Esse ataque tem como alvo o usuário final.
Nos últimos dois anos, a Sucuri tem observado um aumento significativo do número de ataques que comprometem sites, com o objetivo de roubar informações de cartões de crédito. Esses ataques de phishing atingem sites em todas as plataformas. Não importa o CMS (Sistema de Gerenciamento de Conteúdo) que você está utilizando, sempre haverá um hacker querendo fisgar o seu peixe.
No mar do mundo virtual, as estratégias de pesca variam de acordo com a criatividade dos atacantes. Vou citar alguns exemplos.
Diferentes ataques de phishing a páginas de pagamentos
Atualização premiada com malware
A maldade não tem fim quando se trata de tentar enganar alguém. Neste primeiro exemplo, os hackers bolaram uma estratégia muito traiçoeira. Quem nunca fez uma atualização no seu site, ou em um plugin, ou em temas? Espero que a resposta seja sim. Atualizações são uma maneira importante de manter seu site protegido! Mas, e se um patch fosse criado com o único objetivo de roubar as credenciais de seus usuários? Difícil não cair nesse truque. Pois, foi isso que vimos acontecer em fevereiro deste ano.
O SUPEE-5344 é um patch de segurança oficial para o Magento Shoplift que aterrorizou milhares de donos de sites de e-commerce. Foi lançado como uma correção para resolver a vulnerabilidade e tudo melhorou, mas, ao mesmo tempo, os hackers aproveitaram para lançaram um patch falso, com o mesmo nome. A cópia foi tão bem feita que mencionava o código e mostrava, como autor, a Equipe Núcleo do Magento. Na verdade, o código pertencia a um malware que roubava dados de cartões de crédito em sites Magento e explorava o próprio bug SUPEE-5344 que ele deveria ter consertado.
Esses roubos não são facilmente detectados pelos clientes, porque não há sinais visíveis, nem são fáceis de se detectar pelos próprios donos dos sites, pois não interferem com o processo de pagamento.
O bom e velho Jingle Bells
São as campanhas de phishing clássicas, que continuam a perturbar a vida dos donos de sites de e-commerce. A campanha é feita para enganar a vítima por meio da distração do usuário. Você já pode imaginar o resultado desses ataques que usam técnicas de ludibriação. Sim, roubo de informações do cartão de crédito e a perda da venda.
O vírus da estação
Desde junho, muitos sites Magento sofreram com a injeção de códigos maliciosos no core desse CMS. Essa injeção rouba os dados durante o processamento das transações, que depois são enviados em forma de texto simples para o e-mail do invasor.
Uma variável PUBLIC_KEY é usada para criptografar o conteúdo roubado, o que significa que apenas o atacante será capaz de decifrá-lo. Além disso, há uma função de limpeza implementada para retirar os rastros do ataque.
O monstro de duas cabeças
Temos visto também ações híbridas, que combinam dois tipos de ataques: infecção de páginas de pagamentos em sites de e-commerce legítimos com redirecionamentos de clientes para páginas de pagamentos de phishing.
A combinação de páginas de sites legítimos com páginas de phishing é a novidade da estação. Como vimos no “Bom e Velho Jingle Bells”, os atacantes não costumavam infectar páginas de sites legítimos, o mais comum sempre foi o uso de emails, sites falsos, cópias de páginas conhecidas e outros.
Nesse caso, ocorre o sequestro do processo de pagamento em sites legítimos, que funciona assim: quando um cliente está pronto para pagar pelos produtos que deseja comprar, clica em continuar e segue para a página de pagamento. O truque começa aí: ao invés de uma página de pagamento do site legítimo, o usuário é redirecionado para uma página de pagamento de outro site.
À primeira vista, parece não ter nada de errado com a página de pagamento acima. No entanto, ao olhar para a URL, descobre-se que o usuário já foi redirecionado para um site diferente. O que faz com que esse ataque pareça ser ainda mais eficiente que os ataques anteriores é que a vítima já está pronta para inserir seu número de cartão de crédito ao chegar na página de phishing.
Conclusão
Em todos os exemplos acima, o resultado é o mesmo: o roubo de dados do cartão de crédito dos usuários do site e a perda de receita para os proprietários do site.
Falar em phishing na época do Natal é falar em perder dinheiro na melhor época do ano para vender. Como proprietário de site, você não quer que seu tempo e esforço sejam desperdiçados. Leva tempo até se consolidar no mercado e clientes são preciosos. Por isso, aconselhamos investir na segurança do seu site.
Se você não quer perder nenhuma notícia sobre o que ocorre no mundo da segurança de sites, siga o nosso Twitter @SucuriSeguranca. É rápido e prático.