Noll
En cyber-kriminella verksamheten känd som Magecart tros ha legat bakom den senaste tidens kort strid meddelade i förra veckan av British Airways.
Verksamheten har varit aktiv sedan 2015 när RisqIQ och ClearSky forskare upptäckt skadlig kod för första gången.
Koncernens ordinarie driftsform innebär intrång i online-butiker och gömmer sig av JavaScript-kod som stjäl betalkort information som förs in i butiken kassan sidor, information, till exempel kreditkortsnummer, namn, adresser, och vad som är insamlat via betalning former.
Gruppen har varit mycket aktiv de senaste tre åren, att skulden för att injicera kort skumma skript på tusentals webbplatser, med den senaste trove äventyras webbplatser som upptäcktes för två veckor sedan.
Av alla hacks, den mest ökända incidenten var när koncernen äventyras en tredje part chatta leverantör och använde sig av sin infrastruktur för att släppa skadliga skript på Ticketmaster kassan.
Också: Teknisk support bedragare hitta ett hem på Microsoft TechNet-sidor
Men i en rapport som publiceras idag, forskare vid RisqIQ säger att de hittade ledtrådar länka samma Magecart drift till British Airways brott.
Detta bryter mot meddelade förra veckan när British Airways säger att en oidentifierade hackare kompromissat med sitt system och stal kortuppgifter över att fördelas med 380 000 användare.
Det BRITTISKA flygbolaget inte ge fördjupade tekniska detaljer, utan bara visade att angriparen har samlat in information om de betalningar som gjorts genom sin huvudsakliga webbplats på ba.com och från sin mobila app, mellan 22:58 GMT den 21 augusti, 2018, och 21:45 GMT 5 September 2018.
Också: AMERIKANSKA regeringen släpper post mortem-rapport om Equifax hacka
Men RisqIQ experter säger den tid som British Airways som i sin officiella uttalande blev en viktig ledtråd för sin utredning.
Experter sade de gick genast till ett internt verktyg som arkiv källkoden av webbplatser över tid. De använt detta verktyg för att se hur JavaScript-kod laddas på British Airways webbplats ändrats vid tiden för hacka.
Forskare säger att de funnit att en fil som tidigare hade inte ändrats sedan 2012 ändrades den 21 augusti 2018, kl 20:49 GMT, två timmar före det datum som anges i British Airways pressmeddelande.
RisqIQ säger Magecart gruppen lagt till skadlig kod i slutet av en tidigare ren fil med namnet modernizr-2.6.2.js.
Denna bit kod övervakas för vissa musen upp och touch-up interaktioner, hämtas alla uppgifter som registreras i kassan betalning i form, och sände det till en avlägsen server som ligger i Rumänien (som faktiskt ägs av en litauisk virtuell privat server (VPS] provider).
Den här servern var också med hjälp av en Comodo certifikat registrerade dagar innan hacka, den 15 augusti. Enligt RisqIQ, detta intyg visar angriparna hade tid att förbereda hacka dagar innan det började, vilket också innebär att de sannolikt hade tillgång till British Airways hemsida infrastruktur genom att tid också.
Också: Nya Silence hacka grupp som misstänks ha anknytning till it-säkerhetsbranschen
Dessutom, RisqIQ experter sade också att de löst mysteriet om varför den kompromiss som tog plats på både huvud-British Airways hemsida och app på samma gång.
Kreditkort skimming skript vanligtvis påverkar endast webbplatser, främst på grund mobile apps hanteras från en annan kodbasen. Men enligt RisqIQ, British Airways devs valt att ladda webbplats betalning gränssnitt inne i mobil-app, vilket innebär att den officiella appen också laddad skadlig kort skimmer script också, därav anledningen till att utbetalningar från den mobila app har också registrerats.
Med Magecart drift ökar i storlek varje år, det blir allt farligare att betala för varor på nätet, även på större plattformar som ägs av företag som, åtminstone i teorin, har råd att säkra sina webbplatser från kompromiss.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0