En un importante incidente de ciberseguridad que no fue detectado durante casi nueve meses, SelectBlinds, un minorista de cortinas con sede en Arizona, reveló una violación masiva de datos que afectó a 206,238 clientes. La infracción comenzó el 7 de enero y no se descubrió hasta el 28 de septiembre, cuando la empresa identificó actividad sospechosa en su sitio web, como se detalla en las notificaciones de infracción presentadas en Maine y California.
Radio de la filtración de datos de SelectBlinds
A través de su investigación, SelectBlinds descubrió que los atacantes habían obtenido comunicación a los nombres de los clientes, direcciones de correo electrónico, información de pedido y facturación, números de teléfono y, lo más importante, detalles completos de las tarjetas de plazo, incluidos números de tarjetas, fechas de vencimiento y códigos de seguridad CVV. Para los clientes que iniciaron sesión en sus cuentas durante el proceso de plazo, las credenciales de su sitio web todavía se vieron comprometidas.
La metodología de ataque lleva las características de sofisticadas operaciones de e-skimming, comúnmente conocidas como ataques Magecart. Estos ataques representan una amenaza cada vez más frecuente en el panorama del comercio electrónico, donde los ciberdelincuentes inyectan código JavaScript ladino en las páginas de plazo de los sitios web. Esto crea una red invisible que captura datos de los clientes en tiempo actual a medida que los compradores desprevenidos completan sus compras.
Comprender los ataques de E-skimming y Magecart
Imagine que está comprando en su tienda en tilde favorita e ingresando la información de su plástico de crédito para comprar poco. Lo que no puedes ver es que un carterista digital podría estar copiando silenciosamente cada pulsación de tecla que haces; esto es e-skimming.
Cuando los ciberdelincuentes se infiltran con éxito en un sitio web de comercio electrónico, insertan un código ladino que actúa como una cámara secreta apuntando a la página de plazo. Cada vez que un cliente ingresa su número de plástico de crédito, código de seguridad o información personal, este código invisible hace una copia perfecta y la envía a los delincuentes.
Lo que hace que estos ataques sean particularmente peligrosos es su sigilo. En el caso de SelectBlinds, “un tercero no acreditado incorporó malware en el sitio web de SelectBlinds que permitió extraer datos de las transacciones de ventas que se ingresaron en la página de plazo”. El sitio web siguió funcionando con normalidad: los clientes aún podían realizar compras, las páginas se cargaban correctamente y ausencia parecía estar mal. Esta invisibilidad permitió que el ataque continuara sin ser detectado durante aproximadamente ocho meses.
Piense en ello como un cajero mecánico comprometido: excepto que en punto de colocar un skimmer de plástico físico en la máquina, los delincuentes colocan un código digital en el sitio web. La diferencia es que a menudo se puede detectar un skimmer de tarjetas físico, pero esta interpretación digital es completamente invisible para los compradores.
Estos ataques se han vuelto cada vez más comunes porque son lucrativos y difíciles de detectar. A diferencia del robo de datos de la saco de datos de una empresa, donde la información podría estar cifrada, el e-skimming captura los datos en el momento en que los clientes los ingresan, antiguamente de que se realice el criptográfico.
¿Cómo ha respondido SelectBlinds?
La respuesta de SelectBlinds al descubrimiento incluyó medidas de contención inmediatas. “Contuvimos rápidamente el incidente y erradicamos el malware y los utensilios de comunicación no acreditado”, afirmó la empresa en su carta de notificación. Los pasos adicionales incluyeron una decano supervisión, mejores controles de seguridad y refuerzo del sistema.
Protegiéndose de fraudes de pagos sofisticados
La infracción de SelectBlinds no es un incidente incidental sino parte de una tendencia más amplia en el robo de tarjetas de plazo. Según el Documentación de inteligencia sobre fraudes en pagos de 2023 de Recorded Future, los ciberdelincuentes se están volviendo cada vez más sofisticados y combinan ataques técnicos como el e-skimming con tácticas de ingeniería social. Solo en 2023, se pusieron a la liquidación más de 119 millones de tarjetas de plazo robadas en los mercados de la web oscura, lo que generó miles de millones en pérdidas por fraude evitables.
La filtración de SelectBlinds refleja un patrón creciente de robo sofisticado de tarjetas de plazo que ha llamado la atención de las autoridades de todo el mundo. Las recientes acciones de las autoridades rusas contra presuntos piratas informáticos de Magecart subrayan la naturaleza total de esta amenaza. Estos ciberdelincuentes son parte de un ecosistema cada vez más sofisticado que apunta a plataformas de comercio electrónico para robar datos de tarjetas de plazo.