Requins de la carte à la caisse : l’opération secrète de web skimming qui pille les acheteurs en ligne

C’est le braquage invisible qui se produit chaque fois que quelqu’un clique sur « payer maintenant ». Depuis plus de deux ans, un réseau de cybercriminels sophistiqués rôde dans les couloirs numériques des boutiques en ligne, récoltant silencieusement les coordonnées bancaires et les informations personnelles d’acheteurs du monde entier. Les empreintes digitales des attaquants sont presque impossibles à repérer - sauf si l’on sait exactement où chercher.

Découverte par la société de cybersécurité Silent Push, la campagne a discrètement compromis des centaines - voire des milliers - de sites e-commerce depuis début 2022. L’opération repose sur un script malveillant, souvent déguisé sous des noms comme « recorder.js », chargé depuis un domaine suspect lié à un fournisseur d’hébergement bulletproof notoire. Ce script est conçu pour être quasi invisible, se fondant dans le code légitime du site et disparaissant sans laisser de trace dès qu’il détecte la présence d’un administrateur.

Ce qui rend cette attaque particulièrement insidieuse, c’est son adaptabilité. Le skimmer vérifie la présence d’indices révélateurs d’un administrateur, comme la barre « wpadminbar » de WordPress. S’il est détecté, il s’autodétruit, effaçant toute preuve. Pour les clients ordinaires, il attend patiemment qu’ils atteignent la caisse. Si Stripe est choisi comme moyen de paiement, le skimmer remplace le vrai formulaire par un faux - tellement convaincant que même les acheteurs attentifs se laissent piéger en saisissant leur numéro de carte, date d’expiration et code CVC.

Après la soumission des données par la victime, le faux formulaire affiche un message d’erreur générique, donnant l’impression d’une simple faute de frappe. Pendant ce temps, les données volées sont rapidement envoyées au serveur distant des attaquants, et le site rétablit discrètement le vrai formulaire de paiement, effaçant toute trace du crime. Un indicateur caché est placé dans le navigateur de l’utilisateur pour que le skimmer ne frappe pas deux fois la même victime.

Cette campagne est bien plus qu’un simple piratage - c’est une leçon magistrale de tromperie numérique, exploitant l’architecture complexe des plateformes e-commerce et des passerelles de paiement. Les attaquants ont démontré une compréhension approfondie des rouages internes de WordPress et des flux de paiement en ligne, utilisant des fonctionnalités obscures pour maximiser leur portée et minimiser leur détection.

Pour les acheteurs en ligne comme pour les commerçants, la menace est un rappel brutal : tous les dangers ne s’accompagnent pas d’avertissements visibles. Derrière la commodité du commerce digital, des adversaires invisibles sont toujours à l’affût de leur prochain gros coup.

WIKICROOK

• Web Skimming : Le web skimming est une cyberattaque où des pirates insèrent un code malveillant dans les pages de paiement en ligne pour voler les données bancaires des clients lors de leurs achats.
• JavaScript Payload : Un payload JavaScript est un code malveillant exécuté dans un navigateur, souvent utilisé par les attaquants pour voler des données ou manipuler des sessions web.
• Bulletproof Hosting : L’hébergement bulletproof est un service d’hébergement web qui ignore les signalements d’abus, permettant aux criminels d’héberger du contenu illégal ou malveillant avec peu de risques de fermeture.
• DOM (Document Object Model) : Le DOM est la façon dont le navigateur représente et gère la structure d’une page web, permettant aux scripts de modifier dynamiquement le contenu et la mise en page.
• Exfiltration : L’exfiltration est le transfert non autorisé de données sensibles du réseau d’une victime vers un système externe contrôlé par des attaquants.