Google Tag Manager стал инструментом кражи банковских данных

Согласно новому отчету Trustwave, в преддверии праздничного сезона хакеры активизировали атаки на сайты электронной коммерции с целью кражи данных банковских карт и личной информации. Атаки Magecart, которые впервые начали действовать в 2015 году, остаются одной из самых серьёзных угроз для владельцев онлайн-магазинов.

Magecart продолжает активно действовать благодаря широкому использованию платформы Magento, на которой построены тысячи онлайн-магазинов по всему миру. Пандемия 2020 года усилила угрозу, так как переход на онлайн-покупки расширил поверхность атак.

Хакеры используют различные методы для получения несанкционированного доступа к сайтам. Злоумышленники эксплуатируют уязвимости в платформе, сторонних сервисах или инфраструктуре сайта. В 2024 году киберпреступники активно использовали следующие уязвимости:

• CVE-2024-20720 (оценка CVSS: 9.1) — критическая уязвимость в Magento, позволявшая выполнять произвольные системные команды. Атаки начались в апреле 2024 года, что привело к масштабным взломам сайтов.
• CosmicSting ( CVE-2024-34102 и CVE-2024-2961 ) — атакующие использовали ошибки для доступа к конфиденциальным данным, выполнения удалённого кода и внедрения вредоносных скриптов. Кампания затронула до 75% платформ Adobe Commerce и Magento.

После получения доступа хакеры внедряют скиммеры на ключевые страницы сайтов, особенно на страницы оформления заказов. Скрипты собирают данные пользователей, включая номера карт и CVV-коды.

В 2024 году участились случаи злоупотребления популярным инструментом Google Tag Manager (GTM), используемым администраторами для управления контентом. Хакеры создают собственные аккаунты GTM и внедряют вредоносные скрипты, которые затем запускаются на заражённых сайтах. Такой метод труднее обнаружить, так как GTM кажется легитимным.

Собранные данные передаются на серверы атакующих с использованием различных методов, включая HTTP-запросы и соединения WebSocket. Часто данные кодируются в формате Base64 для усложнения анализа.

Для минимизации рисков атак Magecart рекомендуется:

• Своевременно обновлять платформы и расширения;
• Отключать ненужные компоненты и сторонние скрипты;
• Настраивать Content Security Policy (CSP) для ограничения запуска неподтверждённых скриптов;
• Использовать Subresource Integrity (SRI) для проверки целостности загружаемых ресурсов;
• Проводить регулярный мониторинг изменений файлов и внешних соединений.

Атаки Magecart остаются значимой угрозой, и защита требует комплексного подхода.