Хакеры обманули Casio и украли данные покупателей через секретную схему

Официальный сайт британского подразделения Casio стал жертвой сложной кибератаки, результатом которой стали украденные данные пользователей. Вредоносный код был внедрён в сайт с 14 по 24 января 2025 года и позволял преступникам собирать персональную информацию до того, как пользователи доходили до этапа оплаты. Эта атака стала частью широкой кампании веб-скимминга, охватившей по меньшей мере 17 сайтов, использующих платформу Magento и подобные решения. Несмотря на то что угроза была обнаружена 28 января, мошенники успели собрать ценную информацию, включая банковские реквизиты.

Особенность атаки заключалась в использовании уникального метода "Double Entry". После того как пользователь вводил свои данные на поддельной странице, система показывала ошибку и перенаправляла его на оригинальный раздел оформления заказа, где тот снова вводил свои данные. В результате этого мошенники получали два набора информации для проверки её подлинности, что повышало вероятность успешного мошенничества.

Вредоносный скрипт был скрыт с помощью нескольких уровней шифрования, включая XOR-шифрование и кодирование переменных, что затрудняло его обнаружение средствами защиты. Более того, скрипт работал на заражённых сайтах с разных доменов, что ещё больше усложняло задачу для специалистов по безопасности. Несмотря на наличие политик защиты, таких как Content Security Policy (CSP), они не были настроены на автоматическую блокировку нарушений, что позволило злоумышленникам успешно внедрить вредоносный код.

Веб-скимминг остаётся одной из самых серьёзных угроз для компаний, работающих с платёжными данными, и требует использования современных технологий для мониторинга и предотвращения атак.