La tienda en línea de Casio sufre un ataque de robo de tarjetas de crédito mediante un formulario falso en el proceso de pago.
Delincuentes cibernéticos insertaron código en el sitio web de Casio.
Un actor de amenazas desconocido logró instalar un código malicioso de skimming de tarjetas de crédito en la tienda en línea de Casio en el Reino Unido, según informes. Este ataque estuvo presente en el sitio durante aproximadamente diez días y afectó a los clientes que realizaron compras a través del dominio casio.co.uk entre el 14 y el 24 de enero, quienes podrían haber sufrido el robo de su información de tarjetas de crédito y otros datos personales.
El descubrimiento del ataque se atribuye a Jscrambler, una empresa de ciberseguridad, que alertó a Casio sobre la situación el 28 de enero. Tras la notificación, el código malicioso fue eliminado en un lapso de 24 horas. Jscrambler también destacó que esta campaña de skimming afectó a otros 17 sitios web.
El código malicioso parece haber ingresado al sitio por medio de componentes vulnerables de las tiendas Magento, y operaba sin emplear técnicas de ofuscación para ocultar su presencia inicial. La primera secuencia de skimming podía encontrarse directamente en la página principal y cargaba un segundo script de skimming desde un servidor con una dirección IP rusa.
Lo característico de este ataque es su método de ejecución. En lugar de capturar los datos de las tarjetas en la pantalla de pago legítima, la campaña implementó un formulario de pago falso que recopilaba información detallada de los clientes, incluyendo su dirección de facturación, dirección de correo electrónico, número de teléfono, nombre del titular de la tarjeta, número de la tarjeta, fecha de caducidad y el código CVV.
Una vez que los usuarios ingresaban estos datos y hacían clic en el botón de 'Pagar ahora', se les presentaba un error que les pedía verificar su información de facturación antes de ser redirigidos a la verdadera página de pago de Casio para completar su compra. Sin embargo, si un cliente seleccionaba el botón de 'comprar ahora' en vez de 'añadir al carrito', el script no se activaba, lo que indica que los atacantes dedicaron tiempo a ajustar el flujo de skimming para abarcar este desencadenador de pago.
El segundo componente del ataque intentó ofuscarse mediante una técnica de codificación que ha sido vista desde 2022 y que varía partes de su código entre los diferentes sitios que vulnera. También empleó una técnica de ocultamiento de cadenas basada en XOR.
Jscrambler sugiere que, si los sitios deciden implementar políticas de seguridad de contenido (CSP), deben hacerlo de manera eficiente y mantener las herramientas adecuadas para asegurar que dichas políticas funcionen correctamente. Como alternativa, se recomienda el uso de software de seguridad de scripts automatizados.
