Участились случаи кражи денег с банковских карт при помощи встроенного веб-скиммера в интернет магазинах. Полученные данные передают через защищенные шлюзы Telegram. ИБ-специалист, известный под псевдонимом Affable Kraut, обнаружил, что операторы веб-скиммеров стали использовать Telegram-каналы для извлечения похищенных у пользователей данных. К такому выводу он пришел, опираясь на информацию, полученную компанией Sansec, которая специализируется на борьбе с цифровым скиммингом и Magecart-атаками.
Подпишитесь на наш канал в Телеграме, чтобы читать только интересные новости высоких технологий
Исследователь изучил один из таких вредоносных JavaScript и заметил, что тот собирает все данные из заполненных жертвами полей ввода и отправляет их в Telegram.
Вся передаваемая информация зашифрована с использованием публичного ключа, и получив ее, специальный Telegram-бот отправляет украденные данные в чат в виде обыкновенных сообщений.
Affable Kraut отмечает, что этот метод кражи данных, судя по всему, весьма эффективен, но имеет существенный минус: любой, у кого есть токен для Telegram- бота, может взять процесс под свой контроль.
Главный исследователь из компании Malwarebytes, Джером Сегура, тоже заинтересовался данным скриптом, а изучив его, сообщил, что автор этого веб-скиммера использовал простую Base64 для ID бота, канала Telegram и запросам API. Ниже можно увидеть схему, оставленную Сегурой и описывающую весь процесс атаки.
Источник xakep.ru | Автор Мария Нефёдова