Les acheteurs de vacances une fois de plus écorchés par les cyberattaques

Les vacances sont là, et avec le lait de poule et les pulls collants, vient le pic annuel d'attaques de phishing, d'escroquerie et de skimmer de cartes ciblant les acheteurs saisonniers – en particulier pendant les frénésie de shopping du Black Friday et du Cyber ​​Monday.

Récemment, le L'équipe de recherche de Zscaler ThreatLabz a observé de nombreuses activités malveillantes : certains attaquants attirant les victimes avec des e-mails offrant des remises importantes mais conduisant à des pages de phishing ; d'autres injectent du code malveillant dans des sites Web de commerce électronique pour voler des informations de carte de crédit. Zscaler a également connu une augmentation considérable des transactions d'achat en ligne au cours de cette période.

Cet article expliquera les tendances du trafic du commerce électronique et les cyberattaques associées observées par ThreatLabz.

Tendances du trafic[19659002]L'Europe et le Canada ont enregistré une augmentation significative des transactions d'achat à partir du Black Friday (26 novembre), le trafic du commerce électronique ayant augmenté d'environ 50 % par rapport à la semaine précédente :

Zscaler

Aux États-Unis , avec de nombreuses entreprises considérant le Black Friday comme un jour férié, le grand pic d'achat s'est produit le Cyber ​​Monday (29 novembre), avec une augmentation du trafic à peu près du même montant :

Zscaler

À part Amazon, Kohl's a reçu le plus grand afflux de trafic aux États-Unis, avec un bond significatif de 3 à 6 millions de transactions le Cyber ​​Monday (100 %). Les transactions vers Macy's ont également connu un bond significatif de 1,4 million à 2,8 millions de transactions le Cyber ​​Monday (100%). Thanksgiving, Cyber ​​Monday et Black Friday. Bien entendu, tous ces domaines ne sont pas nécessairement malveillants. Pourtant, les domaines nouvellement enregistrés sont toujours suspects, et il faut être prudent lors de l'accès, principalement lorsque les domaines sont liés à des remises et des offres.

Zscaler

Cyberattack Trends

Cas 1 :

Grelos est un groupe de skimmers actif depuis 4-5 ans, période au cours de laquelle ils ont continué à améliorer leurs techniques d'attaque et leur infrastructure. Ce groupe de skimmer a été vu ciblant des sites Web de commerce électronique avec des offres Cyber ​​Monday au cours du week-end de vacances.

Vous trouverez ci-dessous un exemple d'attaque Grelos, où un véritable site Web a été injecté avec un code de skimmer malveillant. Lorsque des utilisateurs peu méfiants saisissent leurs informations financières, les attaquants capturent ces informations. skimmer Grelos obscurci.

Domaine d'exfiltration : checkoutmodules[.]biz

Ce domaine a déjà été associé à des activités de skimmer malveillantes.

Cas 2 :

Nous avons observé un site faisant la promotion de Black Les ventes et les offres du vendredi ont été injectées avec un code de skimmer obscurci dans l'exemple suivant.

Zscaler

Zscaler

Dans ce cas, le skimmer stocke tous les détails de paiement volés de la victime dans le cookie et remplace tous les identifiants de champ HTML extraits par les leurs pour permettre aux attaquants de stocker et d'analyser plus facilement les données.[19659036]fig 8[19659037]Zscaler

Ces données volées sont cachées parmi les paramètres généraux et envoyées à l'attaquant pour ressembler à du trafic bénin. Ici, la clé « statistic_hash » contient les données de paiement volées encodées. cible historique des groupes de skimmers a été la plateforme Magento. Mais récemment, ThreatLabz a commencé à voir d'autres plateformes comme WooCommerce également ciblées. Dans l'exemple suivant, un site Web de commerce électronique basé sur WooCommerce avec des offres liées au Cyber ​​Monday est injecté avec un code de skimmer malveillant.

Zscaler

Le code skimmer a des capacités anti-débogage et détecte si les outils de développement sont ouverts. Les données de paiement volées de la victime sont envoyées à l'attaquant dans un format codé en base64.

Zscaler

Cas 4 :

En plus des codes d'écrémage javascript injectés, ThreatLabz a également vu la redirection vers des sites Web malveillants à partir de certains sites Web bénins. Pour ce faire, les attaquants ont utilisé un code malveillant injecté chargé d'effectuer cette redirection.

Vous trouverez ci-dessous un exemple où un site Web lié aux offres du Black Friday a été injecté avec du code malveillant, redirigeant les victimes vers d'autres sites Web malveillants / frauduleux.

Zscaler

Zscaler

Domaine redirigé : sdk.expresswayautopr[.]com

Conclusion

L'équipe de Zscaler ThreatLabz suit activement les campagnes ciblant les acheteurs en ligne et fournit une couverture pour garantir que nos clients sont protégés contre ce type d'attaques.

Les utilisateurs activement s'engager dans des achats en ligne doit suivre ces directives de base pour protéger leurs informations et leur argent :

• N'utilisez que des sites Web de commerce électronique légitimes et assurez-vous que vous utilisez des connexions HTTPS/sécurisées[19659067]Ne tombez pas dans le piège des offres « trop belles pour être vraies » provenant de sources inconnues, et méfiez-vous de cliquer sur des liens ou des documents provenant de ces sources
• Téléchargez uniquement des applications à partir des magasins d'applications officiels, tels que Google ou Apple[19659067] Sauvegardez vos documents et fichiers multimédias. Vous pouvez toujours aller plus loin en cryptant vos fichiers