abimagestudio - stock.adobe.com

Vol de données CB : comment détecter les skimmers

Ces implants malveillants empoisonnent discrètement des sites Web légitimes pour dérober les données de carte bancaire de leurs clients. Des règles permettent désormais d’en faciliter la détection.

C’était à la fin de l’été 2018 : British Airways reconnaissait le vol de données de cartes bancaires de 380 000 de ses clients, utilisateurs de son site Web et de son application mobile. RiskIQ pointait alors un suspect, qui allait faire largement parler de lui : Magecart, dont on découvrirait plus tard qu’il ne s’agissait pas d’un seul groupe, mais de plusieurs, notamment à la suite d’une enquête conduite conjointement par RiskIQ et Flashpoint.

La nébuleuse Magecart vise des sites de commerce en ligne animés par Magento pour dérober des détails de cartes bancaires. Cette menace repose sur ce que l’on appelle les skimmers, des implants logiciels qui permettent d’assurer le vol de ces données de paiement CB. Et elle est loin de s’être évaporée.

Fin décembre dernier, Sansec a ainsi repéré une menace affectant la boutique numérique de l’Agence spatiale européenne (ESA) : un bout de code JavaScript redirigeant les acheteurs, à la phase de paiement, vers un site frauduleux, utilisant un nom de domaine choisi pour semer la confusion et induire le visiteur en erreur. 

Quelques jours plus tard, le site d’e-commerce de l’Agence était fermé : « notre site est temporairement sorti d’orbite pour des rénovations excitantes », pouvait-on y lire.

Selon Recorded Future, 2024 a été une année record pour le vol de détails de cartes bancaires, avec 269 millions d’enregistrements partagés sur des plateformes bien connues des cybercriminels. Près de 11 000 sites de e-commerce légitimes touchés par la menace ont été recensés, soit trois fois plus qu’en 2023.

Face à cela, le chercheur en cybersécurité Daniel Cuthbert a décidé de relever le gant : « il est temps de rendre la vie plus difficile à Magecart et aux autres groupes ». Sur GitHub, il partage les fruits des travaux de l’unité de recherche en cybersécurité de la banque Santander : des règles de détection des implants malveillants utilisés pour voler les détails de cartes bancaires.

Ces règles sont conçues pour Semgrep, un outil d’analyse statique de code à destination des développeurs, notamment. C’est là le cas d’usage : vérifier que du code malveillant n’a pas été glissé à son insu par des tiers externes dans le code JavaScript de son site Web.

L’étudiant chercheur indépendant Gi7w0rm a parallèlement publié un billet d’éducation à la détection de ces implants, dits skimmers, de l’extérieur cette fois-ci.

Pour approfondir sur Menaces, Ransomwares, DDoS