砰!手机网站上被黑的页面正在窃取客户的信用卡数据

2020-10-07 16:26:41

如果你在市场上寻找新的手机套餐,最好不要求助于Boom!莫比尔县。也就是说,除非你不介意你的敏感支付卡数据在过去几个小时内仍在进行的攻击中被发送给犯罪分子。

据安全公司Malwarebytes的研究人员称,砰!研究人员称,MobileBoom.us网站感染了一个恶意脚本,该脚本掠过支付卡数据,并将其发送到一个名为Fullz House的犯罪集团控制的服务器上。当用肉眼查看时,恶意脚本由一行调用,该行主要由无意义的字符组成。

当从Base64格式解码时,该行转换为:PayPal-debit[.]com/cdn/ga.js。JavaScript代码ga.js伪装成Google Analytics脚本,位于Fullz House成员运营的众多欺诈域之一。

Malwarebytes的研究人员在周一发布的一篇帖子中写道:“这个撇油器噪音很大,因为每当它检测到当前页面显示的字段发生变化时,它就会渗出数据。”从网络流量的角度来看,您可以将每个泄漏视为单个GET请求,其中数据采用base64编码。

将数据置乱为base64字符串有助于隐藏真实内容。解码字符串很简单,一旦富尔茨众议院成员收到就可以完成。

准确地说,恶意线路是如何被添加到Boom中的!网站不清楚。正如MalwareBytes所指出的,来自安全公司Sucuri的这个站点安全检查器显示Boom.us正在运行PHP 5.6.40,该版本自2019年1月以来一直不受支持,并且存在已知的安全漏洞。攻击者可能找到了利用一个或多个PHP安全漏洞的方法,但也可能有其他解释。

Fullz House这个名字是对Fullz的认可,Fullz是对信用卡或借记卡的全部或全部数据的俚语。通常,Fullz包括持卡人的全名和账单地址;卡号、有效期和安全码;通常还包括社会保险号和出生日期。一辆富尔兹在地下市场上的售价远远高于只提供部分信息的价格。Malwarebytes表示,它以前曾看到Fullz House运营。

考虑购买新手机套餐的人应该避开Boom!,至少在略读脚本被删除之前是这样。当用户访问感染了这些掠夺器的站点时,来自MalwareBytes和其他提供商的防病毒保护也会提供警告。砰!代表们没有回复寻求对这篇帖子发表评论的消息。

更新:在这篇帖子上线约17小时后发布的一份声明中,砰!移动官员写道:

BOOM MOBILE对这一事件的发生深表遗憾。从一开始,我们就迅速采取行动,遏制了事件,并进行了彻底的调查。我们发现该恶意软件只出现在我们位于boom.us的购物车上,而没有出现在我们的任何其他站点上,如myaccount t.boom.us,它被客户用来管理他们的账单。我们鼓励可能在9/30/20-10/5/20之间从www.boom.us购买的客户与其信用卡公司采取必要的预防措施。这一事件没有损害任何Boom移动账户,保存的付款或自动转账细节。我们的储蓄付款/自动转账系统不会储存任何银行资料,并经核实是安全的。信用卡处理器为我们提供了一个只有BOOM才能使用的安全令牌!我们安全服务器上的移动电话。我们致力于保护您的数据和隐私。我们符合PCI标准,不会将财务数据存储在我们的服务器上。我们的购物车提供商已经确保我们的网站是安全的,并且恶意软件已被删除。