Microsoft: Крадците на кредитни карти стават много по-прикрити

INeed$

Registered

Скимирането на карти е уеб-базирана атака, при която хакери инжектират злонамерен JavaScript код в уебсайтове за електронна търговия, като използват уязвимост на основната платформа (Magento, PrestaShop, WordPress и др.) или лоши практики за сигурност.

Не, че не си го знаете, но все пак да го имате в предвид. Преди има няма година имаше един бум на онлайн магазини във Фейса, такива еднодневки, които продаваха супер готини неща за без пари. Мой приятел го скемнаха (не му взеха данните на картата, макарче и за това не мога да дам гаранция) с едно $40 за чаша на GOT.

Ако се поразходите и сега из фейса ще видите, че тук таме има някакви нелигитини магазини.
 

devcvetomir

Registered
Това са дребни риби, дето навярно не могат да достигнат и до продажба на кардинга. Големите акули играят на едро, и най-бруталното е, когато достъпят до някакви статични ресурси, и аднат някоя шмекерия оттам.
Бритиш Еърлайнс половин година мисля и крадяха данните, чрез хакнат статичен cdn сървър на някакъв слайдер по спомен. Не знам как така толкова време, като от това, което бях виждал, най-брутално се виждаше в network таба, как данните за картата, отиват към .ru сървър форма.


Ето и от един дефкон, ФБР агента разказва за OCHKO123 - Роман / най-известния кардър за времето си, интересно за слушане. Син е на депутат, от дума, та дори агента разказва и за разговора с баща му ( когато е заловен и очаква съд ) , как обсъждат да подкупят агентите, за да го измъкнат... Но Очко е играл доста на едро. По спомен профит - към 18 милиона $.


Сега са на мода airdrop crypto 'хаковете' / DEFI flash loan hacks / и подобните му - че следите много бързо се губят с wallets, може да се анонимизира 60-70% от всяка една сума от подобни неща.
 
Последно редактирано:

Blinky

Administrator
Екип
Да, и аз мисля, че ако няма някакъв контрол и постоянен мониторинг, може да се закачи не само JS скрипт, който да праща данни. Това супер много би сринало имиджа на която и да е компания. И ще е изцяло заслужено. Цялата тъпотия идва и от това, че повечето големи сайтове държат да обработват карти при тях, което ги прави още по-лесни като цел.
 

devcvetomir

Registered
Да, и аз мисля, че ако няма някакъв контрол и постоянен мониторинг, може да се закачи не само JS скрипт, който да праща данни. Това супер много би сринало имиджа на която и да е компания. И ще е изцяло заслужено. Цялата тъпотия идва и от това, че повечето големи сайтове държат да обработват карти при тях, което ги прави още по-лесни като цел.

Да, то затова има тея дълги стрингове в статичните ресурси от CDN-ите. Иначе да, ама и това с бритиша, не е прецедент, често бомбят разни депенденсита и по тях.


А бе то като се има предвид, LOG4SHELL, че удари като от ясно небе, а е толкова критикал... - техническо видео тук, иначе много добре обяснено с тази игра, как се експлоитва:


Това е много опасно, RCE, като се има предвид, че повечето проекти ползват тая библиотека за логър, всички джавари, бяха нащрек, да бързат да ъбдейтват всичко налично.


Майнкрафт видеото най-добре обяснява що за критичност става въпрос, познат дето пише на JAVA в gambling индустрията, бяха на нож, заради LOG версията и те, май последните месеци това беше най-голямата бруталност. А като се замислиш, колко ли години е било 0 day, ако не е репортвано.
 
Последно редактирано:

INeed$

Registered
На мнение съм, че един сайт предприел ли е да обработва карти на него, трябва задължително да има екип, който да следи логове, транзакции, някакви секюръти тестове постоянно, а не само да плеснат някаква заучена фраза колко е защитено всичко, и в същото време данните на картата му да се продават в няколко руски блекхед форума. ;)
 

INeed$

Registered
да дойдат да ми клонират еднократните карти от revolut :D
Човек, ти за всяко плащане ли създаваш отделна? Ужас. Aко е така, те тия скеймъри вече са спечелили. :D
 

tanchev

Registered
Човек, ти за всяко плащане ли създаваш отделна? Ужас. Aко е така, те тия скеймъри вече са спечелили. :D
Тя не се ли променяше сама при настъпило плащане, не мисля, че беше нужно ти нещо да правиш ръчно. И аз съм на това мнение, макар че истината е, че аз и на Revolut много вяра нямам.
 

devcvetomir

Registered
За всяко плащане е с различен номер.

Баси параноика :D би ме мързяло, иначе не е лоша идея, въпреки че и потвърждението с смс и таен код на ДСК върши работа при мен.
 

uphero

Registered
Баси параноика :D би ме мързяло, иначе не е лоша идея, въпреки че и потвърждението с смс и таен код на ДСК върши работа при мен.
Не съм го измислил аз това, просто всеки път ми дава различен номер.
Имам и виртуални карти за многократни плащания за доверени сайтове
 

Blinky

Administrator
Екип
Добре са го измислили, щом не се налага да си генерираш номер, а автоматично ти дава такъв. Идеално звучи. Дано после при някакви диспути и money back guarantee не се налага да се правят схеми, за да си получиш обратно парите. Не знам дали е имал @uphero такъв случай, но ако е, ми е чудно наистина.
 

tanchev

Registered
Добре са го измислили, щом не се налага да си генерираш номер, а автоматично ти дава такъв. Идеално звучи. Дано после при някакви диспути и money back guarantee не се налага да се правят схеми, за да си получиш обратно парите. Не знам дали е имал @uphero такъв случай, но ако е, ми е чудно наистина.
Не, няма проблем, временната карта се ливкидира и се заменя с друга, но ако настъпи обратен превод от dispute към картата, парите ти се връщат в акаунта без проблем, въпреки, че картата е вече неактивна, това няма да попречи на обратния превод.
 

Blinky

Administrator
Екип
Не, няма проблем, временната карта се ливкидира и се заменя с друга, но ако настъпи обратен превод от dispute към картата, парите ти се връщат в акаунта без проблем, въпреки, че картата е вече неактивна, това няма да попречи на обратния превод.
Ясно, мислех, че има занимавка при чарчбака. ;) Мерси много. Вече ми изглежда добра идея. ;)
 

Ticketa

Registered
Мойта практика е много проста.

Имам няколко сметки. Една обаче е основно за онлайн плащания и в нея държа минимална сума при необходимост е запълвам т.е. ако съм сигурен, че нещо ще бъде онлайн.

Пък нека ме скимират. Играта на едно е по-интересна от лапешките фишинг простотии.
 

Горе