Dziś czas na bezpieczeństwo publiczne. Dokładnie to, które reprezentuje złośliwy kod przechwytujący dane kart płatniczych. Ten znalazł się na stronach aż 8 amerykańskich miast. W efekcie przechwycone dane osobowe, numery kart i CVV stały się ogólnodostępne! A wydawałoby się, że płatności miejskie akurat objęte są odpowiednią bańką bezpieczeństwa.

Magecard, a płatności miejskie

O sprawie informuje Graham Cluley, który to udostępnia dane przez ekspertów z TrendMicro. Stąd właśnie wiadomo, że atak najprawdopodobniej rozpoczął się w okolicach 10 kwietnia. Nie podano jednak miast, w których strony okazały się wadliwe. Wiadomo natomiast, że cechą wspólną wszystkich ośmiu miast było korzystanie z platformy Click2Goy. 

Ta z kolei stanowi oparcie dla urzędów i miast, czy nawet lokalnych samorządów, w Stanach Zjednoczonych. A co ważne – strony wykorzystujące właśnie Click2Gov były już celami hakerów w 2018 i 2019 roku.

płatności miejskie

Jednak to, do czego dziś zmierzamy to przede wszystkim  Magecard, czyli złośliwy kod, który wykorzystano do ataku. Ten wstrzyknięty na stronę płatności miejskich pozwolił właśnie na przechwycenie danych kredytowych i osobowych. 

Dlaczego o tym mowa? Ano przede wszystkim dlatego, byście nie dali się zwieść tym, co siedzi Wam w głowach – płatności miejskie nie mają prawa być niebezpieczne. No, może i nie mają. Ale jak doskonale wiemy – to, co zakazane, smakuje najlepiej.

A ponieważ Magecard to stosunkowo prosty i skuteczny sposób – zyskał miano webowego skimmera. Co więce, już w momencie samej akceptacji płatności, po wprowadzeniu danych karty dokonuje się przechwycenie.

Złośliwy kod JavaScript umieszczony jest w parametrze o nazwie OWASP_CSRFTOKEN, który całkiem sprawnie imituje zaimplementowaną w aplikacji ochronę przed atakami CSRF. Jednak specjalistom z TrendMicro udało się dotrzeć do dwóch serwerów. Pierwszy odpowiadał za odbiór danych z trzech stron, drugi z kolei – z aż pięciu.

Płatności miejskie dają się oszukać… czy także w Polsce?

Tymczasem, prawdopodobnie zwróciliście uwagę na to, że atak nie należy do najbardziej wyrafinowanych i wyszukanych. Jednak to nie liczy się w obliczu skuteczności, jaką osiąga. Nie podano jednak jak dużo danych wykradziono w taki sposób. W międzyczasie jasno zakomunikowano – platforma Click2Gov raczej do odstrzału, aniżeli do płatności miejskich.

W efekcie pojawia się pytanie – co z tą Polską i atakami na płatności miejskie nad Wisłą? Na razie płacenie online za usługi miejskie nie jest jeszcze aż tak powszechne. Z kolei płatności kartą też nie należą do najpopularniejszych. Niemniej – Polska nie posiada standardów bezpieczeństwa w kwestii doboru platformy.

Dlatego też nie można wykluczyć autorskich wdrożeń web aplikacji tworzonych na podstawie przetargu… Jednak brak standardu to nie tylko utrudnienia centralnego utrzymania jednolitej polityki bezpieczeństwa. To przede wszystkim otwarta furtka dla ataków hakerskich. 

Co więcej, nie każda instytucja krajowa korzysta z domeny gov.pl. Ale… pamiętajcie, że człon w nazwie strony to nie gwarancja bezpieczeństwa – nawet domena rządowa potrafi zaskoczyć.

Jak chronić płatności miejskie?

Tymczasem warto śledzić kolejne strategie bezpieczeństwa narodowego czy Krajowy System Cyberbezpieczeństwa. W międzyczasie na przykład zespół CERT Polska aktywnie reaguje na trendy i zagrożenia dla polskiej cyberprzestrzeni. Jednak zagadnienia związane z bezpieczeństwem w sieci są nieco bardziej rozległe niż nam się wydaje…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *