Международная компания Group-IB, специализирующаяся на предотвращении кибератак, предоставила первый в России аналитический отчет по угрозе JavaScript-снифферов (JS-снифферов), говорится в пресс-релизе компании, имеющийся в распоряжении “Ъ”. Group-IB проанализировала 2440 зараженных онлайн-магазинов, посетителями которых являются около 1,5 млн человек в день. Все они подверглись риску компрометации.

JS-сниффер — это онлайн-аналог скиммера (устройства, перехватывающего данные банковской карт). Он представляет собой несколько строк кода, который внедряется киберпреступниками на сайт для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и т. д. Полученные данные, как правило, продают. Цена одной такой украденной карты составляет от $1 до $5, реже — $10–15. Значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников.

Исследование 2440 показало, что более половины онлайн-магазинов были атакованы сниффером семейства MagentoName, который использует уязвимости устаревших версий систем управления сайтом CMS Magento (Content Management System) для внедрения своего кода в код сайтов, работающих под управлением этой CMS. Более 11% заражений приходятся на заражения снифферами семейства CoffeMokko, операторы которого используют особые скрипты, нацеленные на кражу данных из форм оплаты платежных систем. Среди них — PayPal, Verisign, Authorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePay и другие.

Компания отметила, что киберпреступники помимо внедрения сниффера создают поддельные платежные формы, которые подгружаются с другого скомпрометированного сайта. Таким образом пользователю предлагалось два варианта оплаты: картой и с помощью PayPal. Если пользователь выбирал PayPal, то получал сообщение, что такой способ недоступен, поэтому единственным вариантом оставалась банковская карта.

Эксперты компании выявили 38 разных семейств JS-снифферов, отличающихся уникальными признаками. Group-IB заявила о необходимости изменить отношение к подобной угрозе. «При заражении сайта в цепочку пострадавших вовлечены все — конечные пользователи, платежные системы, банки и крупные компании, торгующие своими товарами и услугами через интернет»,— приводятся в пресс-релизе слова технического директора компании Дмитрия Волкова.

По средним подсчетам, доход «сниффероводов» может составлять сотни тысяч долларов в месяц. Например, ресурсы, зараженные JS-сниффером семейства WebRank, суммарно посещает 250 тыс. человек в день. «Если конверсия на этих сайтах составляет всего 1%, то трансакции проводят 2500 тыс. покупателей ежедневно. Таким образом, при минимальной вилке стоимости украденной карты операторы WebRank могут заработать от $2 500 до $12 500 за один день “работы”»,— отмечается в пресс-релизе.