• Home
  • Conseils
  • Des hackers vident vos comptes en piratant des sites d’e-commerce
Des hackers vident vos comptes en piratant des sites d’e-commerce

Des escrocs récupèrent les données des cartes de crédit des clients. Et ce, à partir de pages de paiement trafiquées sur des sites Web compromis.

Le FBI et la Cybersecurity and Infrastructure Security Agency ont rendu un nouveau rapport. Celui-ci détaille une tentative d’intrusion récemment détectée. Elle consiste à siphonner les données bancaires d’un utilisateur lorsqu’il réalise un achat sur le web. Ce type de piratage serait à l’œuvre depuis au moins septembre 2020 et n’est pas du tout nouveau. Concrètement, le pirate s’introduit dans une boutique en ligne et modifie le code de sorte que, lorsque les clients saisissent leurs informations, des copies de leurs données sont siphonnées et exploitées par ce pirate.

Des URL modifiés
Un avis du FBI, du CISA et du Homeland Security datant de janvier 2022 explique qu’un code a été injecté dans une page de paiement. Son but ? Récupérer les informations de paiement des clients et les envoyer à un serveur contrôlé par les escrocs qui se fait passer pour un système légitime de traitement des cartes. En clair, les hackers se sont infiltrés sur au moins un site américain en utilisant trois adresses IP. À savoir, 80[.]249.207.19, 80[.]82.64.211 et 80[.]249.206.197.

En clair, le code malveillant envoie les informations de paiement du client vers un domaine de traitement de cartes usurpé. Ainsi, on remarque que dans l’URL http://authorizen[.]net/, le “n” a été ajouté pour usurper l’identité de http://authorize[.]net/. Ce dernier est un domaine légitime d’une société de traitement de cartes.

Deux portes dérobées
L’attaque ne se limite pas à la modification de liens. Les escrocs ont aussi modifié des fichiers sur le serveur du site Web infiltré afin d’installer deux portes dérobées. Concrètement, cela a permis l’installation de deux web shell baptisés PHP P.A.S. et b374.

L’une des portes dérobées de l’attaque était un shell web standard qui a été déployé en incluant l’instruction assert($_REQUEST[‘login’]) dans une page Hypertext Preprocessor (PHP). À savoir qu’un shell web, ou coquille web, est un script malveillant introduit sur les systèmes attaqués. Les serveurs Web constituent leur cible principale. Ainsi, une fois que ces systèmes ont le shell Web, le cybercriminel dispose d’un accès permanent au système à distance et peut le gérer comme il le souhaite.

Pour résumer, les cyberacteurs non identifiés ont également établi un accès backdoor au système de la victime. Et ce, en modifiant deux fichiers dans la page de paiement.

Les conseils du FBI
Le FBI encourage les destinataires de ce document à signaler toute information concernant une activité suspecte ou criminelle à leur bureau local. Les contacts des bureaux locaux sont disponibles à l’adresse www.fbi.gov/contact-us/field-offices.

À noter que, lorsqu’il est disponible, chaque rapport soumis doit inclure “la date, l’heure, le lieu, le type d’activité, le nombre de personnes et le type d’équipement utilisé pour l’activité, le nom de l’entreprise ou de l’organisation qui le soumet, et un point de contact désigné”, indique le Bureau.