Хакеры взломали сайт Casio UK и похитили данные пользователей

Хакеры взломали сайт Casio UK и похитили данные пользователей

Официальный сайт британского подразделения Casio (casio.co.uk) стал жертвой кибератаки, которая позволила украсть данные пользователей.

Инцидент стал частью масштабной кампании веб-скимминга, которая на данный момент выявлена как минимум на 17 сайтах, работающих на платформе Magento или аналогичных решениях. Вредоносный код был активен на сайте Casio с 14 по 24 января, а 28 января код обнаружили ИБ-специалисты. В течение суток после уведомления компания устранила угрозу.

Вредоносный скрипт был встроен в главный код сайта и отличался от стандартных методов веб-скимминга. Обычно такие атаки направлены на страницу оплаты, но в данном случае вредоносное ПО охватило все страницы сайта, за исключением «/checkout». Это позволило мошенникам собирать данные пользователей до перехода к оплате. При попытке оформить заказ через корзину появлялась поддельная форма ввода данных, которая маскировалась под стандартное оформление покупки.

Фальшивая форма запрашивала адрес, телефон, имя, и данные банковской карты. Введённая информация передавалась на удалённый сервер с использованием шифрования AES-256-CBC. Уникальность атаки в том, что после ввода всех данных пользователь получал сообщение об ошибке и перенаправлялся на настоящий раздел оформления заказа, где ему вновь предлагалось заполнить поля оплаты. Такой метод известен как «Double Entry» и позволяет мошенникам убедиться в подлинности информации.

3-этапный процесс оплаты скиммера (jscrambler)

Ошибка, отображаемая пользователю после ввода данных в поддельную форму (jscrambler)

В коде скиммера использовалось несколько уровней маскировки, в том числе индивидуальный механизм кодирования переменных, а также метод сокрытия строк через XOR-шифрование. Это позволяло обойти статический анализ и WAF -системы. Ещё одной особенностью атаки стало отсутствие кода вредоносного скрипта в ряде случаев, что указывало на встроенные механизмы обхода детектирования.

Сбор введенных данных (jscrambler)

Все заражённые сайты загружали вредоносный код с определенных серверов. Несмотря на различие доменных имён, основной вредоносный код оставался схожим, что указывает либо на одного организатора атак, либо на использование единого инструмента для их генерации. Также выявлены случаи использования давно зарегистрированных, но неактивных доменов, что позволяло киберпреступникам избегать блокировок.

Система безопасности Casio UK включала в себя политику Content Security Policy (CSP), однако она работала в режиме отчётности и не была настроена на автоматическое блокирование нарушений, что позволило вредоносному коду внедриться на сайт без противодействий.

Инцидент демонстрирует, что недостаточно просто внедрять механизмы защиты — их необходимо правильно настраивать и контролировать. Веб-скимминг остаётся серьёзной угрозой для онлайн-бизнеса, особенно для компаний, работающих с платёжными данными клиентов. Для эффективной защиты необходимо использование автоматизированных решений по мониторингу и предотвращению атак, так как ручное управление системами безопасности часто оказывается недостаточно эффективным.

Напомним, что в октябре 2024 года Casio стала жертвой масштабной атаки программы-вымогателя, которая привела к утечке данных тысяч сотрудников, клиентов и деловых партнёров. Casio в своем отчёте заявила, что в результате инцидента пострадали 6456 сотрудников, 1931 деловой партнёр и 91 клиент. Расследование показало, что взлом стал возможен благодаря фишинговым письмам, которые позволили злоумышленникам проникнуть на серверы компании 5 октября.