Tráfego em 30/Out/24: 349.264 page views/mês - 141.802 usuários/mês - 5.441 assinantes

Site da Tupperware foi comprometido com card skimmer

Paulo Brito
25/03/2020

Descoberta foi feita pela Malware Bytes. Os dados roubados são nome e sobrenome, endereço de cobrança, número de telefone, número do cartão de crédito, data de vencimento e código de segurança

Site da Tupperware foi comprometido com card skimmer

Pesquisadores da empresa de segurança Malware Bytes descobriram no dia 20 que o site de língua inglesa da Tupperware, uma das mais famosas marca de utensílios domésticos de plástico, foi contaminado com um skimmer de cartão de crédito que roubava dados dos clientes quando eles os digitavam numa tela de checkout de compras. O skimmer também foi plantado em alguns sites de outras línguas, mas o de língua inglesa é o mais visitado, exibindo um milhão de páginas por mês segundo o portal SimilarWeb. Os dados roubados, segundo a Malware Bytes, são nome e sobrenome, endereço de cobrança, número de telefone, número do cartão de crédito, data de vencimento e código de segurança.

A Malware Bytes fez um longo relatório sobre o assunto e o enviou à Tupperware mas não teve resposta. Só hoje, 25 de Março, o problema foi resolvido. O recurso dos cibercriminosos foi ocultar o código malicioso em um falso formulário de pagamento no checkout de compras. Depois de usá-lo – depois que os criminosos já haviam obtido os dados – o usuário via uma mensagem de erro e era então conduzido ao formulário verdadeiro para terminar sua compra.

Veja isto:
Hackers faturam US$ 1,6 milhão com venda de cartões na dark web
Novo skimmer JavaScript ataca sites de e-commerce

É visível, diz o relatório,que houve uma quantidade considerável de trabalho para comprometer o site da da Tupperware e integrar o skimmer do cartão de crédito com perfeição, para que permanecesse sem ser detectado pelo maior tempo possível.

O relatório conta que o problema foi descoberto durante um rastreamento na web: foi localizado no site da Tupperware um iframe que era carregado de outro domínio, chamado deskofhelp [.], para exibir os campos do formulário de pagamento apresentados aos compradores online. 

O domínio foi, segundo os pesquisadores, a primeira grande pista, com pelo menos quatro indicações de que era utilizado por criminosos:

1) Foi criado poucos dias antes da descoberta, em 9 de março – geralmente os domínios de criminosos são criados pouco antes do ataque

2) O domínio foi registrado por elbadtoy@yandex[.]Ru, um endereço de email com o provedor russo Yandex, o que não fazia nenhum sentido no site da Tupperware;

3) o domínio está hospedado em um servidor no endereço 5.2.78 [.] 19, juntamente com vários domínios de phishing

Curiosamente, se alguém inspecionasse o código-fonte da página de check-out não veria esse iframe malicioso, porque ele é carregado dinamicamente apenas no DOM (Document Object Model).

Compartilhar: