Shanghaied shops & ABS / Scout detection, boutiques, negozi

Boutiques détournées et détection PNA/Scout

Une boutique grande ouverte est une tentation irrésistible pour les criminels. C’est la raison pour laquelle la plupart des propriétaires de boutiques s’attachent à vérifier que leur porte est bien close à la fin de la journée. En revanche, nombreux sont ceux qui laissent la porte de leur boutique virtuelle ouverte dans le monde numérique. Et qui -surprise- se font pirater !

Celui qui est maintenant aux manettes de la boutique n’est plus le propriétaire de la boutique mais un cybercriminel, qui peut alors passer à la phase 2 de son plan : ajouter un petit script qui lui retourne les numéros de carte de crédit renseignés dans la plateforme d’achats en ligne. Ces derniers peuvent être revendus sur le marché noir ou utilisés directement pour ses propres achats.

Des milliers de boutiques ont été touchées

Cette situation est vraiment une impasse : la bonne vieille boutique de confiance sur le web est soudainement victime d’une opération de hameçonnage sans que son propriétaire ne s’en rende compte.

Pour les clients :

Les clients doivent faire attention : s’ils ignorent les avertissements et saisissent les coordonnées de leur carte bancaire, ces données seront directement transmises aux criminels. Outre le vol et la probable utilisation abusive de leurs informations de carte de crédit, leur appareil ne sera pas affecté. Souvenez-vous donc que ceci met seulement votre argent en danger, et non votre appareil.

Pour les propriétaires de boutique :

PNA (et Scout) détectent maintenant leurs pages comme du « hameçonnage ». En tant que propriétaire de la boutique concernée, vous restez dubitatif car vous n’avez pas mis en place un tel site. Mais quelqu’un d’autre s’en est chargé, en votre nom et en utilisant votre propriété, et s’attaque à vos clients. Ceci prend une tournure personnelle, et il est grand temps de voir tout rouge et de jeter ces lascars dehors ! Après avoir nettoyé votre page (et résolu toutes les vulnérabilités) contactez-nous ici, décrivez comment vous avez procédé et ajoutez éventuellement le mot-clé « Magento » (ceci correspondant probablement à la plateforme commerciale que vous utilisez, pas vrai ?). Ceci nous permettra de réévaluer la page et de supprimer la détection et l’avertissement concernant votre boutique.

100 points pour les bons, bravo !

Nommer le problème

Aux yeux de l’utilisateur, ceci n’est qu’un site de hameçonnage de plus. Pour le propriétaire de la boutique, il s’agit de sa boutique tant affectionnée. Nous cherchons une meilleure dénomination plus spécifique pour différencier cette « page temporairement détournée et assimilée à des activités criminelles » de la mention classique « cette page a été créée uniquement dans un but criminel ». Dès que nous serons parvenus au bout de nos peines, nous nommerons différemment la détection et actualiserons cet article de blog.

Depuis quand ce petit jeu dure-t-il en réalité ?

L’essentiel étant dit, revenons brièvement sur l’historique des événements :

  • Le chercheur néerlandais Willem de Groot a découvert que des boutiques étaient piratées il y a environ un an
  • Les rapports ont montré que l’information remontée aux propriétaires des boutiques n’a pas apporté les résultats escomptés
  • Il a signalé ses découvertes à Google Safe Browsing
  • Ce problème étant en voie d’aggravation, nous entrons en jeu afin de protéger nos clients :
  • Nous avons la liste
  • Nous avons élaboré des outils pour vérifier si les boutiques sont toujours infectées
  • Nous avons ajouté les boutiques dangereuses à notre protection PNA/Scout (ou plus exactement à notre base de données Avira URL Cloud)
  • Nous surveillons constamment les boutiques pour maintenir notre liste à jour

Pourquoi nous avons attendu si longtemps

C’est tout le contraire dans les faits. Ces pages de paiement infectées ont été détectées et bloquées en tant que tentatives de hameçonnage depuis le début. Vous bénéficiiez d’une protection mais celle-ci intervenait assez tard dans le processus : à savoir après avoir passé un certain temps dans la boutique infectée, rempli votre panier et tenté de passer à la caisse. C’est le moment où nous intervenions au départ. Désormais, afin de vous faire gagner du temps, nous bloquons le domaine complet.

Au fait, consultez les liens répertoriés ci-dessous pour plus d’information à ce sujet :

Restez à l’abri et protégez-vous les uns les autres,
Thorsten Sick

Cet article est également disponible en: AnglaisAllemandItalien

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser