Peretas membajak toko online untuk menampilkan formulir pembayaran palsu modern yang tampak realistis untuk mencuri kartu kredit dari pelanggan yang tidak menaruh curiga.
Formulir pembayaran ini ditampilkan sebagai modal, konten HTML terhampar di atas halaman web utama, memungkinkan pengguna untuk berinteraksi dengan formulir login atau konten pemberitahuan tanpa meninggalkan halaman.
Saat modal aktif, konten latar terkadang diredupkan atau diburamkan untuk menarik perhatian ke konten modal.
Dalam laporan baru oleh Malwarebytesskimmer MageCart sekarang membajak halaman pembayaran toko online yang sah untuk menunjukkan formulir pembayaran palsu mereka sendiri sebagai modal untuk mencuri kartu kredit pelanggan.
Modals ini menonjol karena terkadang terlihat lebih baik dari aslinya, tidak memiliki tanda visual yang dapat menimbulkan kecurigaan bahwa itu tidak nyata.
Lebih baik dari yang sebenarnya
Satu kasus yang disorot dalam laporan Malwarebytes menyangkut toko aksesori perjalanan Paris berbasis PrestaShop yang disusupi oleh kampanye Kritec baru.
Kritec adalah skimmer kartu kredit JavaScript yang pertama kali terdeteksi Malwarebytes di toko Magento pada Maret 2022jadi pelaku ancaman yang sama kemungkinan ada di baliknya.
Malwarebytes melaporkan bahwa skimmer yang menginfeksi halaman agak rumit, dan kodenya sangat disamarkan dengan pengkodean base64.
Setelah mencapai halaman checkout dari situs yang terinfeksi, alih-alih diperlihatkan formulir pembayaran situs, skrip berbahaya menampilkan modal yang menampilkan logo merek, bahasa yang benar (Prancis), dan elemen antarmuka yang elegan.
Namun, formulir pembayaran palsu ini dirancang untuk mencuri informasi kartu kredit pelanggan dan mengirimkannya kembali ke peretas.
Setelah pembeli memasukkan detailnya pada modal, itu akan menampilkan pemuat palsu untuk sementara dan kemudian menunjukkan kesalahan palsu, mengarahkan pengguna ke URL pembayaran yang sebenarnya.
Namun, di latar belakang, pelaku telah mencuri semua detail yang dimasukkan, termasuk nomor kartu kredit, tanggal kedaluwarsa, nomor CVV, dan nama pemegang kartu.
Selain itu, skimmer menjatuhkan cookie pada pengguna yang telah berhasil ditargetkan untuk mencegah memuat modal jahat lagi di situs yang sama atau situs lain. Ini untuk menghindari pengumpulan data duplikat dan meminimalkan paparan operasi.
Analis Malwarebytes memblokir skrip skimmer kartu kredit untuk memungkinkan formulir pembayaran asli dimuat, dan perbandingan antara keduanya membuat yang asli dikalahkan secara estetika.
Halaman pembayaran sebenarnya mengalihkan pengunjung ke pemroses pihak ketiga, dan setelah informasi perbankan dimasukkan, pelanggan kembali ke halaman toko.
Meskipun pengalihan ke situs eksternal merupakan langkah umum dalam pembayaran online, hal itu menimbulkan lebih sedikit kepercayaan pada pengunjung daripada formulir modal yang ditampilkan langsung di halaman.
Sayangnya, Malwarebytes mengamati bukti bahwa tren penggunaan formulir modal mendapatkan daya tarik di komunitas kejahatan dunia maya Magecart.
Contoh lain dari situs web yang menyajikan modal pembayaran palsu pada pengunjung termasuk situs e-niaga Belanda dan Finlandia, keduanya menampilkan desain elegan yang membantu mereka dianggap asli.
“Ada kemungkinan beberapa aktor ancaman terlibat dalam kampanye tersebut dan menyesuaikan skimmer sesuai dengan itu,” membaca laporan.
“Sementara banyak toko yang diretas memiliki skimmer generik, tampaknya modal kustom dikembangkan baru-baru ini, mungkin satu atau dua bulan yang lalu.”
Pembeli online harus sangat waspada dan lebih memilih metode pembayaran elektronik atau kartu pribadi satu kali dengan batas biaya yang tidak berguna di tangan penjahat dunia maya.
