Le skimming, ou fraude à la carte bancaire est une menace pour les acheteurs en ligne. La situation mondiale actuelle a créé une augmentation des ventes en ligne, augmentant les opportunités d’attaques des pirates informatiques. Cette cybercriminalité cible les systèmes de paiement en ligne pour collecter ou « écrémer » (to skim) les informations liées à la carte bancaire au moment où les clients réalisent leurs paiements.

Contrairement aux cyberattaques plus traditionnelles, où une base de données de clients entière peut être ciblée et l’attaque opérée en un seul coup, les attaques par skimming à interceptent en continu les informations des cartes bancaires. Pour les clients et les vendeurs, l’attaque est ainsi plus difficile à détecter et souvent imperceptible.

Au fil des années, plusieurs groupes criminels se sont spécialisés dans ce type d’attaques. Le plus actif et le plus efficace est connu sous le nom de « Magecart », un terme générique désignant un ensemble de criminels sophistiqués utilisant des logiciels malveillants et autres techniques similaires dans le but est de voler les informations contenues dans les cartes bancaires utilisées pour les achats auprès de vendeurs en ligne.

Les groupes Magecart sont connus pour être actifs depuis 2016 et sont à l’origine des plus grandes attaques ciblant des systèmes de paiement au cours des dernières années, notamment ceux de la British Airways (2018), de Newegg Electronics (2018), du magasin d’objets pour les fans des Hawks d’Atlanta (2019), de la plate-forme d’abonnement au magazine Forbes (2019), ainsi que des sites de revente de billets pour les Jeux Olympiques de 2020 et pour le tournoi de football Euro 2020 de l’UEFA. Ces attaques ont valu à Magecart de figurer au classement des « Personnes les plus dangereuses d’Internet » du magazine Wired en 2018.

Comment ça marche ?

Dans la plupart des attaques par  fraude à la carte bancaire, le hacker introduit du code dans l’application de vente en ligne du vendeur. Les récentes attaques du groupe Magecart se sont appuyées sur l’utilisation d’un tiers externe sécurisé dont le code est légitimement inclus dans l’application du vendeur, un référentiel de code externe, un chatbot ou un éditeur de publicité par exemple.

Les chercheurs ont à ce jour identifié plus de 40 exploits d’injection de code différents, constitués parfois d’à peine 20 caractères, difficilement détectables à moins que le code de l’application ne soit examiné à la loupe, ligne par ligne.

Les hackers ont également intégré des certificats SSL valides rattachés aux domaines qui envoient du code malveillant. Le trafic apparaît légitime et les clients ne reçoivent pas les avertissements indiquant la présence de contenus mixtes lorsque le site tente de mêler les contenus du site chiffrés et sécurisés avec les contenus malveillants envoyés non chiffrés.

Un récent rapport a également décrit des attaques de groupes Magecart à l’occasion desquelles des contrôles d’accès mal configurés sur les compartiments Amazon S3 ont permis aux hackers de fixer leur code de skimming sur les fichiers de code d’application JavaScript.

Se protéger de la fraude à la carte bancaire

La meilleure défense proactive à mettre en place par une entreprise pour se protéger de ce type d’attaques consiste à renforcer le nombre d’applications de vente en ligne et à restreindre le code autorisé pour l’application.

  • Utiliser un outil d’analyse en ligne gratuit pour repérer les connexions suspectes ouvertes par des scripts injectés dans l’application. Les outils de développement de navigateur peuvent également être utilisés pour analyser les contenus et repérer les connexions suspectes établies lors d’une session client.
  • Utiliser l’option « Bloquer l’accès public » d’Amazon sur tous les compartiments S3 utilisés par l’entreprise pour empêcher les modifications non autorisées des fichiers d’application.
  • Déterminer une politique pour la sécurité des contenus avec une liste des emplacements dans votre site à partir desquels les ressources peuvent être chargées. Cette politique devrait s’appliquer pour toutes les pages sensibles, par exemple la page où le client fait le paiement, la page de connexion et d’autres zones où les utilisateurs enregistrent des informations sensibles.
  • Vérifier tous les scripts externes, tels que ceux des annonceurs, à l’aide du contrôle d’intégrité des sous-ressources. Ceci garantira que tous les scripts intégrés à partir de sources externes sont hachés et comparés à une valeur connue correcte pour confirmer qu’il s’agit bien des fichiers qui doivent être chargés. Si ce n’est pas le cas, le chargement est bloqué par le navigateur.
  • S’assurer que tous les éléments figurant sur des pages sensibles utilisent ce contrôle d’intégrité des sous-ressources. La directive « require-sri-for » de la politique de sécurité des contenus visant à l’utilisation du SRI pour tous les scripts et balises de style empêchera les éléments d’être intégrés aux pages pour lesquelles le SRI n’est pas activé.

L’activité de Magecart et d’autres hackers du même genre indique que ces groupes sont une menace persistante et résiliente. La nature lucrative des attaques par skimming garantit que les attaques vont être plus furtives et adaptées aux mesures de sécurité mises en place. Cependant, pour bon nombre des attaques perpétrées à ce jour par ces groupes, si les mesures décrites ci-dessus avaient été mises en œuvre, elles auraient largement contribué à empêcher certains incidents très gênants et aux conséquences coûteuses.

Suivez l’actualité des attaques par ransomware, dont la fraude à la carte bancaire, dans le Threat Intelligence Report mensuel de DXC.