Microsoft: Крадците на кредитни карти стават много по-прикрити

[INeed$]

Microsoft: Credit card stealers are getting much stealthier

Microsoft's security researchers have observed a worrying trend in credit card skimming, where threat actors employ more advanced techniques to hide their malicious info-stealing code.

www.bleepingcomputer.com

Скимирането на карти е уеб-базирана атака, при която хакери инжектират злонамерен JavaScript код в уебсайтове за електронна търговия, като използват уязвимост на основната платформа (Magento, PrestaShop, WordPress и др.) или лоши практики за сигурност.

Не, че не си го знаете, но все пак да го имате в предвид. Преди има няма година имаше един бум на онлайн магазини във Фейса, такива еднодневки, които продаваха супер готини неща за без пари. Мой приятел го скемнаха (не му взеха данните на картата, макарче и за това не мога да дам гаранция) с едно $40 за чаша на GOT.

Ако се поразходите и сега из фейса ще видите, че тук таме има някакви нелигитини магазини.

 

[devcvetomir]

Това са дребни риби, дето навярно не могат да достигнат и до продажба на кардинга. Големите акули играят на едро, и най-бруталното е, когато достъпят до някакви статични ресурси, и аднат някоя шмекерия оттам.
Бритиш Еърлайнс половин година мисля и крадяха данните, чрез хакнат статичен cdn сървър на някакъв слайдер по спомен. Не знам как така толкова време, като от това, което бях виждал, най-брутално се виждаше в network таба, как данните за картата, отиват към .ru сървър форма.

Ето и от един дефкон, ФБР агента разказва за OCHKO123 - Роман / най-известния кардър за времето си, интересно за слушане. Син е на депутат, от дума, та дори агента разказва и за разговора с баща му ( когато е заловен и очаква съд ) , как обсъждат да подкупят агентите, за да го измъкнат... Но Очко е играл доста на едро. По спомен профит - към 18 милиона $.


Сега са на мода airdrop crypto 'хаковете' / DEFI flash loan hacks / и подобните му - че следите много бързо се губят с wallets, може да се анонимизира 60-70% от всяка една сума от подобни неща.

 

[Blinky]

Да, и аз мисля, че ако няма някакъв контрол и постоянен мониторинг, може да се закачи не само JS скрипт, който да праща данни. Това супер много би сринало имиджа на която и да е компания. И ще е изцяло заслужено. Цялата тъпотия идва и от това, че повечето големи сайтове държат да обработват карти при тях, което ги прави още по-лесни като цел.

 

[devcvetomir]

Да, и аз мисля, че ако няма някакъв контрол и постоянен мониторинг, може да се закачи не само JS скрипт, който да праща данни. Това супер много би сринало имиджа на която и да е компания. И ще е изцяло заслужено. Цялата тъпотия идва и от това, че повечето големи сайтове държат да обработват карти при тях, което ги прави още по-лесни като цел.

Да, то затова има тея дълги стрингове в статичните ресурси от CDN-ите. Иначе да, ама и това с бритиша, не е прецедент, често бомбят разни депенденсита и по тях.


А бе то като се има предвид, LOG4SHELL, че удари като от ясно небе, а е толкова критикал... - техническо видео тук, иначе много добре обяснено с тази игра, как се експлоитва:

Това е много опасно, RCE, като се има предвид, че повечето проекти ползват тая библиотека за логър, всички джавари, бяха нащрек, да бързат да ъбдейтват всичко налично.


Майнкрафт видеото най-добре обяснява що за критичност става въпрос, познат дето пише на JAVA в gambling индустрията, бяха на нож, заради LOG версията и те, май последните месеци това беше най-голямата бруталност. А като се замислиш, колко ли години е било 0 day, ако не е репортвано.

 

[INeed$]

На мнение съм, че един сайт предприел ли е да обработва карти на него, трябва задължително да има екип, който да следи логове, транзакции, някакви секюръти тестове постоянно, а не само да плеснат някаква заучена фраза колко е защитено всичко, и в същото време данните на картата му да се продават в няколко руски блекхед форума.

 

[uphero]

да дойдат да ми клонират еднократните карти от revolut

 

[INeed$]

да дойдат да ми клонират еднократните карти от revolut

Човек, ти за всяко плащане ли създаваш отделна? Ужас. Aко е така, те тия скеймъри вече са спечелили.

 

[tanchev]

Човек, ти за всяко плащане ли създаваш отделна? Ужас. Aко е така, те тия скеймъри вече са спечелили.

Тя не се ли променяше сама при настъпило плащане, не мисля, че беше нужно ти нещо да правиш ръчно. И аз съм на това мнение, макар че истината е, че аз и на Revolut много вяра нямам.

 

[uphero]

Човек, ти за всяко плащане ли създаваш отделна? Ужас. Aко е така, те тия скеймъри вече са спечелили.

За всяко плащане е с различен номер.

 

[devcvetomir]

За всяко плащане е с различен номер.

Баси параноика би ме мързяло, иначе не е лоша идея, въпреки че и потвърждението с смс и таен код на ДСК върши работа при мен.

 

[uphero]

Баси параноика би ме мързяло, иначе не е лоша идея, въпреки че и потвърждението с смс и таен код на ДСК върши работа при мен.

Не съм го измислил аз това, просто всеки път ми дава различен номер.
Имам и виртуални карти за многократни плащания за доверени сайтове

 

[Blinky]

Добре са го измислили, щом не се налага да си генерираш номер, а автоматично ти дава такъв. Идеално звучи. Дано после при някакви диспути и money back guarantee не се налага да се правят схеми, за да си получиш обратно парите. Не знам дали е имал @uphero такъв случай, но ако е, ми е чудно наистина.

 

[tanchev]

Добре са го измислили, щом не се налага да си генерираш номер, а автоматично ти дава такъв. Идеално звучи. Дано после при някакви диспути и money back guarantee не се налага да се правят схеми, за да си получиш обратно парите. Не знам дали е имал @uphero такъв случай, но ако е, ми е чудно наистина.

Не, няма проблем, временната карта се ливкидира и се заменя с друга, но ако настъпи обратен превод от dispute към картата, парите ти се връщат в акаунта без проблем, въпреки, че картата е вече неактивна, това няма да попречи на обратния превод.

 

[Blinky]

Не, няма проблем, временната карта се ливкидира и се заменя с друга, но ако настъпи обратен превод от dispute към картата, парите ти се връщат в акаунта без проблем, въпреки, че картата е вече неактивна, това няма да попречи на обратния превод.

Ясно, мислех, че има занимавка при чарчбака. Мерси много. Вече ми изглежда добра идея.

 

[Ticketa]

Мойта практика е много проста.

Имам няколко сметки. Една обаче е основно за онлайн плащания и в нея държа минимална сума при необходимост е запълвам т.е. ако съм сигурен, че нещо ще бъде онлайн.

Пък нека ме скимират. Играта на едно е по-интересна от лапешките фишинг простотии.