Investigadores de la compañía de seguridad de aplicaciones web PerimeterX han detectado dos bots de tarjetas de pago mientras investigaban el aumento de los ataques contra las páginas de pago. Uno de los nuevos bots de carding, denominado el bot Canary, explota las principales plataformas de comercio electrónico, lo que podría tener un impacto significativo en miles de sitios web si no se bloquean pronto. El segundo bot de tarjetas, denominado bot de shortcut, explota las API de proveedores de pagos con tarjeta utilizadas por un sitio web o aplicación móvil y omite por completo el sitio web de comercio electrónico.
Como señalaron los investigadores, la diferencia entre los actores maliciosos y los compradores reales es que estos últimos tienden a comprar menos antes de la temporada navideña. En cambio, PerimeterX observó un gran aumento en el tráfico malicioso antes de la temporada de vacaciones, y en algunos casos aumentó a más del 700% desde septiembre.
Para verificar las tarjetas, los atacantes suelen hacer una compra de bajo costo. Una vez validada, una tarjeta puede usarse para artículos de gran valor, lo que resulta en pérdidas considerables, ya que a menudo están cubiertas por minoristas y procesadores de pagos.
Uno de los bots descubiertos, el bot Canary, fue visto en al menos dos ataques dirigidos a páginas de pago creadas en una de las plataformas de comercio electrónico populares. El primer ataque se descubrió cuando el equipo de investigación notó que una versión del navegador Safari de 2011 estaba cambiando las direcciones IP a diario. Estas direcciones IP se originaron en los servicios de nube y colocación, lo que generó sospechas ya que los usuarios reales rara vez usan los servicios en la nube para comprar.
El robot intentaba imitar el comportamiento humano, creaba un carrito de compras, luego le agregaba productos y también proporcionaba información de envío.
El segundo ataque asociado con el bot de Canary parece ser más sofisticado, a diferencia del intento anterior, estaba cambiando las direcciones IP y los agentes de usuario (navegadores y dispositivos) cada pocas solicitudes para imitar el tráfico humano. En este segundo ataque, los delincuentes simplemente estaban agregando el producto al carrito, omitiendo la página del producto y yendo a pagar.
A diferencia del bot Canary, el bot Shortcut tiene un enfoque más directo, omitiendo agregar productos al carrito y completando el proceso de facturación en un intento de evitar la detección.
“Los sitios web de comercio electrónico a menudo usan servicios externos para manejar el proceso de pago. Algunos servicios de pago prefieren el acceso directo a través de un punto final API que verifica la tarjeta de crédito y devuelve una respuesta. Esta llamada directa a la API es atractiva para los atacantes de tarjetas de acceso directo que pueden validar las tarjetas sin la necesidad de poner ningún producto en el carrito de compras o completar el proceso de facturación ”, explicó PerimeterX.
Los investigadores también agregaron que para estar preparados contra tales ataques, los propietarios de sitios web de comercio electrónico pueden tomar una serie de acciones, por ejemplo, deben evitar que los visitantes ingresen a las páginas de pago sin un artículo en el carrito, y también deben tener más atención a amenazas automatizadas avanzadas.
