Скиммер заполняет поддельные формы PayPal похищенными данными о заказе

Операторы скиммеров кредитных карт начали использовать инновационную технику для внедрения правдоподобных фреймов PayPal и взлома процесса оформления заказа в скомпрометированных интернет-магазинах. Злоумышленники похищают платежную и персональную информацию, предоставленную покупателями на взломанных сайтах электронной коммерции, и отправляют ее на удаленные серверы, находящиеся под их контролем.

Новая тактика кражи информации о платежных картах online-покупателей была обнаружена пользователем Twitter, использующим псевдоним Affable Kraut. По словам специалиста, вредоносный скрипт был спрятан внутри изображения, размещенного на сервере скомпрометированного магазина, с использованием стеганографии. Скиммер перехватывает и похищает все данные форм заказов, введенные жертвами, и отправляет их на серверы злоумышленников.

На этом сходство с обычными скриптами скиммера заканчивается, поскольку украденные данные заказа также позже используются для предварительного заполнения поддельных платежных форм PayPal, которые будут вводиться и отображаться в процессе оформления заказа вместо легитимных форм.

Скиммер также анализирует информацию о покупке, прежде чем использовать ее для заполнения форм PayPal, и «если данные бесполезны, он фактически отправляет сообщение обратно на страницу на сайте жертвы», удаляя вредоносные фреймы со страницы оформления заказа.

Когда жертва будет перенаправлена ​​на страницу заказа PayPal, тот факт, что она уже частично заполнена, придаст убедительности мошеннической схеме и повысит шансы на успешное хищение данных о платежах.