В 2005 году получил двадцать лет тюрьмы уроженец Кубы Альберт Гонсалес, взломавший 170 миллионов банковских карт и банкоматов. Этот рекорд пока не удалось побить ни одному хакеру, но это не означает, что ремесло Гонсалеса кануло в лету. В этой статье мы расскажем о новейших взломах банковских карт.
1. Взлом Magento
Полтора года назад неизвестные хакеры взломали почти 2000 электронных магазинов, используя уязвимости платформы Magento ver. 1.x. Злоумышленники встраивали в код php-скрипт, воровавший данные карт пользователей. Компания Adobe, разработчик платформы, справедливо заметила, что уже несколько месяцев уговаривает владельцев торговых площадок переходить на новую версию ПО, а Magento 1.x уже несколько недель не поддерживается.
2. Уязвимости платежных систем
Неизвестные злоумышленники взламывали банковские карты с помощью двух смартфонов и специального ПО, использовавшего уязвимости платежных технологий Visa. При этом один из гаджетов выдавал себя за PoS-терминал, а другой – за карту.
Пока программисты Maestro и Mastercard смеялись над неудачей коллег из VISA, аналогичному взлому подверглись уже их банковские карты. Использовалась та же схема – два смартфона плюс приложение. И пусть программа задействовала совсем другие уязвимости, результат оказался тем же. Но «дыры» в безопасности платежных систем залатали очень быстро.
3. Взлом через Google Apps Script
Неофициальный девиз Google «Don’t be evil!» («Не будь злом!») продержался без малого двадцать лет. Но тоже в прошлом году хакеры, оставшиеся неизвестными, использовали для кражи платежных данных платформу Google Apps Script. Для внедрения вредоносного кода на JS злоумышленники использовали тот факт, что защитные механизмы интернет-ресурсов воспринимают любые поддомены Google как доверенные сайты.
Обосновавшись на веб-страницах магазина, «зловред» перехватывал платежную информацию и пересылал ее приложению на платформе script.google.com. А уже оттуда данные пересылались на принадлежавший хакерам сайт.