Vol de données bancaires de British Airways, le groupe MageCart dans le viseur

Il y a quelques jours, nous reportions le piratage du site et de l'application mobile de British Airways ayant abouti au vol de 380 000 informations bancaires.
Aujourd'hui, RiskIQ, société spécialisée dans la sécurisation de services Web, publie les conclusions de ses recherches : le groupe de pirate MageCart en serait à l'origine.

Sur son site, RiskIQ revient en détail sur les évènements et sur ce qui a permis ce vol massif de données de paiement.
Pour faire simple, les pirates ont utilisé un skimmer web. Un skimmer est normalement un appareil physique qui est placé dans un distributeur automatique, le lecteur de carte d'une pompe à essence, etc et qui va lire le contenu de la bande magnétique de la carte de paiement, sans pour autant gêner son utilisation. L'utilisateur n'a ainsi aucun doute sur le vol de ses données.
Un skimmer web fonctionne de la même manière, en volant les données au moment de la saisie sur le site de paiement.
Cette technique est devenue la marque de fabrique de MageCart et c'est elle qui a été utilisée sur le site British Airways.

Pour ne pas éveiller les soupçons, les pirates ont acheté un nom de domaine baways.com et injecté quelques lignes de JavaScript dans un des scripts utilisés sur le site de British Airways au moment du paiement.
Ce ne sont que 22 lignes de JavaScript qui ont ainsi été nécessaires pour dérober 380 000 numéros de carte bancaire.
Le principe est simple, au moment où un événement mouseup ou touchend se déclenche, donc au moment où l'utisateur relâche le bouton "Envoyer", les données du formulaire sont sérialisées sous la forme d'un JSON et envoyées au faux site en arrière-plan.
Comme l'application mobile utilise une version mobile du même site, et donc les mêmes scripts JavaScript, elle a été également compromise de fait.

MageCart n'en est pas à son coup d'essai puisque c'était déjà le groupe à l'origine de l'important vol de données sur le site anglais de Ticketmaster il y a quelques mois. Mais cette fois ils ont attaqué le site principal et non une solution de paiement tierce.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
Commenter depuis le forum
    Votre commentaire