Los minoristas de Medio Oriente y África representan un mayor número de víctimas de ataques de Web skimming, pero con una pequeña fracción del número total de víctimas de consumidores.

En el último descubrimiento de un ataque de este tipo, un investigador independiente afirma haber descubierto Código de navegación web en un servidor provisional del sitio minorista de ropa Khaadi, con sede en Pakistán y los Emiratos Árabes Unidos. El código fue descubierto durante una investigación sobre un ataque de navegación web en otro sitio web, el de un equipo de fútbol alemán, con una búsqueda en Internet que descubrió otros 1,800 sitios potencialmente comprometidos.

El descubrimiento subraya que los ataques de Web skimming, también conocidos como ataques Magecart, siguen siendo una amenaza, afirma el investigador independiente de ciberseguridad Gi7w0rm (Gitworm). Magecart es el término utilizado para los ataques que colocan skimmers de tarjetas en sitios de comercio electrónico para robar información de tarjetas de pago.

"Los ataques de skimming web siguen existiendo porque todavía generan a los delincuentes suficiente dinero como para ser vectores de ingresos viables", afirma. "Y la facilidad con la que los actores pueden comprometer un gran número de tiendas web para obtener datos CC [tarjetas de crédito] válidos ciertamente contribuye a ello".

En su mayor parte, Ataques de Magecart son relativamente raros en el Medio Oriente y África. Si bien la región MEA tiene una población más joven que adopta más fácilmente la tecnología y compra en línea, es menos probable que utilicen tarjetas de crédito tradicionales y más probabilidades de utilizar tecnología moderna de pago móvil. Además, las cuentas de tarjetas de crédito de América del Norte y Europa suelen ofrecer un mejor retorno de la inversión para los ciberdelincuentes.

Medio Oriente y África representan menos del 2% de todas las tarjetas de crédito robadas. Fuente: Futuro grabado

Aun así, la región no es inmune a estos ataques. De las naciones de Oriente Medio y África, Turquía (que a menudo se incluye tanto en la región europea como en la MEA) aparece en la lista de los 10 principales condados afectados por ataques de skimming, ocupando el tercer lugar en la lista y representando el 5.5% de todas las detecciones, según datos recopilados por la firma de ciberseguridad ESET. 

"Los ataques de Magecart Web skimmer no están muy dirigidos", dice Ondrej Kubovič, evangelista de seguridad de ESET. “Los grupos detrás de ellos buscan dinero, por lo que no son muy exigentes y normalmente comprometen tantas tiendas electrónicas en tantos lugares como puedan alcanzar a través del vector de ataque que elijan. Por supuesto, los atacantes probablemente estén dispuestos a invertir más tiempo y esfuerzo en comprometer las tiendas electrónicas más grandes, ya que el retorno de la inversión para ellos es potencialmente mayor, incluso si la seguridad de esos sitios web es un poco mejor que la seguridad de sus competidores más pequeños”.

Tarjetas comprometidas

En general, Oriente Medio y África representan menos del 2% de todas las tarjetas de crédito comprometidas descubiertas en 2023, según datos de la firma de inteligencia sobre amenazas Recorded Future. El país con las tarjetas más comprometidas, Sudáfrica, experimentó una caída dramática (42%) a 280,000 tarjetas comprometidas publicadas en tiendas de tarjetas de la Dark Web, mientras que la quinta nación más atacada, Egipto, vio una cuadruplicación a 80,000 en el número de sus tarjetas de ciudadanos publicadas en línea. (Recorded Future clasifica a Turquía como parte de Europa. Si se agrupara con MEA, ocuparía el puesto número 1 en esa lista, luego de un aumento del 67% en las tarjetas comprometidas en 2023).

"En última instancia, las diferencias en los mercados regionales probablemente signifiquen que los estafadores perciben que los registros en ciertas regiones tienen más o menos valor para el fraude que los emitidos en otras regiones", afirmó Recorded Future en "Informe anual de inteligencia sobre fraude en pagos: 2023."

Es poco probable que los ataques sean de naturaleza geopolítica y normalmente se centran sólo en monetizar la capacidad de insertar código en sitios web, dice David Alves, analista de seguridad de Jscrambler.

"Es posible que veamos un aumento en la orientación a regiones con economías digitales en crecimiento y prácticas de ciberseguridad menos maduras", dice. "Pero, en general, los atacantes buscan el premio, no el lugar".

Defensas de carros mágicos

Los ataques de skimming serán más difíciles de detectar con técnicas de evasión más sofisticadas, lo que obligará a los propietarios de sitios web a cuidar mejor la seguridad de sus sitios y del código de terceros que utilizan.

Los atacantes apuntan a componentes populares de terceros para atacar a un gran número de víctimas con un solo ataque, dice Alves de Jscrambler.

"Los atacantes apuntan al 'eslabón más débil' de la cadena de suministro, que suele ser el proveedor con menos recursos asignados a la ciberseguridad", afirma. "Este tipo de ataque también aumenta el posible retorno de la inversión de los actores de la amenaza, ya que les permite atacar a varias empresas en un solo ataque".

Los complementos y los componentes de terceros que albergan vulnerabilidades son los que se abusan principalmente en los ataques cibernéticos, por lo que las empresas de comercio electrónico sólo deben ejecutar componentes parcheados y desactivar cualquier complemento con vulnerabilidades conocidas. Las vulnerabilidades en los complementos de WordPress, por ejemplo, pueden afectar a decenas de miles de sitios, haciéndolos atractivos para los grupos de Magecart y, por lo tanto, críticos para parchearlos rápidamente.

Además, las tiendas web deben asegurarse de tener implementada una política de seguridad de contenido (CSP) en los encabezados de sus páginas, que restringe cómo se pueden utilizar ciertas capacidades del navegador, como JavaScript y CSS. Finalmente, los escáneres de sitios web pueden determinar si algún script llega a sitios desconocidos o maliciosos. 

"Misterio sin resolver"

El investigador G17w0rm informó sobre el código de navegación web tanto a Khaadi como al Equipo de Respuesta a Emergencias Informáticas de Pakistán (PK-CERT) el 2 de enero, con un seguimiento el 7 de enero. Ninguna organización respondió, dice.

"A día de hoy, estos subdominios de Khaadi siguen comprometidos", afirma. "Esto se puede ver y comprobar al abrir uno de los dominios afectados, poner algo en la cesta y acceder a la página de pago". 

Señaló que las páginas web afectadas por el código no parecen estar siendo utilizadas actualmente por el minorista, lo que hace menos probable que los clientes se vean afectados. "Para mí es un misterio sin resolver por qué hay varias tiendas web en funcionamiento en el dominio Khaadi.com, pero como no pude hablar con ellas, no puedo tener una visión interna", dice.

El minorista no respondió una solicitud de comentarios por correo electrónico enviada por Dark Reading.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/magecart-adds-middle-east-retailers-to-long-list-of-victims