Des pirates volent des cartes de crédits grâce aux pages d’erreur 404

Une nouvelle campagne de piratage permet de voler les cartes de crédits en passant par une version infectée des pages d'erreur 404 des sites de vente en ligne. Les chercheurs en cybersécurité n'avaient jamais vu ça avant.

Vol carte de credit erreur 404
Crédits : 123RF

Pour voler des informations bancaires, le plus souvent celles de la carte de crédit, les pirates ont beaucoup d'imagination. De l'audace même, en se faisant passer pour des conseillers chargés de vous protéger contre les arnaques par exemple. Mais comment soupçonner qu'ils vont aller jusqu'à infecter une page Web que tout le monde a déjà vu plusieurs fois dans sa vie, sans jamais se dire qu'elle pourrait être dangereuse ? Cette page, c'est la fameuse “Erreur 404”. Celle que vous voyez s'afficher quand vous arrivez sur une page qui n'existe plus ou qui a été déplacée.

Les chercheurs en cybersécurité d'Akamai ont été les premiers surpris de leur découverte. Ils repèrent d'abord une nouvelle campagne Magecart, “un type de cyberattaque qui cible les entreprises en ligne dans le but de dérober des informations sensibles, notamment les données des cartes de paiement”. Rapidement, ils remarquent que parmi les 3 méthodes utilisées par les hackers, l'une d'elle consiste à modifier la page d'erreur 404 des sites visés. Du jamais vu selon eux.

Des pirates ont modifié la page d'erreur 404 de sites Web pour voler des cartes de crédits

Les victimes sont des sites de vente en ligne reposant sur la plate-forme de e-commerce Magento (aujourd'hui Adobe Commerce) ou WooCommerce. L'attaque repose sur un “loader”, un programme qui va injecter le code malveillant sur la page Web. Une fois exécuté, il cherche à aller sur une page qui n'existe pas, ce qui aboutit à l'affichage d'une erreur 404. Sauf que celle-ci n'est pas la vraie, c'est une version infectée qui la remplace entièrement.

Lire aussi – ChatGPT : grâce à cette IA, des hackers peuvent pirater n’importe quel site web

Les données bancaires sont ensuite récupérées via un faux formulaire créé par le code présent dans la fausse erreur 404. Le client entre ses informations pour payer, un message indique que ça n'a pas marché et demande de retaper le tout. Mais cette fois-ci, il envoie ce qu'il écrit aux pirates. En théorie, des solutions de cybersécurité bien configurées doivent détecter l'infection.

Source : Akamai


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Xiaomi Redmi Pad 2 Pro : la tablette passe à moitié prix pour le Choice Day !

Normalement en vente à 351 €, la Xiaomi Redmi Pad 2 Pro est actuellement affichée à prix sacrifié sur AliExpress. À l’occasion du Choice Day, vous pouvez l’avoir à 177,19…

Le tout nouveau Xiaomi 17 perd déjà 378 € sur son prix (-35%) : cette offre va vite disparaître

Le récent Xiaomi 17 voit son prix chuter de près de 400 € grâce à une offre à durée limitée. La version 512 Go du smartphone haut de gamme est…

Panne LCL : impossible de se connecter au site ou à l’application, la banque est en rade

Une panne est en cours sur le site Internet et l’application mobile de la banque LCL. Les clients n’arrivent pas à se connecter à leur espace sur l’un ou l’autre…

Clap de fin pour les Tesla Model S et Model X, elles sont officiellement mortes

C’est la fin d’une ère chez Tesla avec l’arrêt de la production des Model S et Model X si emblématiques de la gamme. Une fois que les exemplaires actuellement en…

La première moto au monde à batterie solide entre en production, ses performances sont folles

Après des mois de doutes et de scepticisme, la première moto à batterie tout-solide de série est enfin une réalité. La Verge TS Pro sort des usines avec des chiffres…

Vous préférez les SMS aux appels ? Voici ce que cela dit de vous selon des psychologues

Pourquoi diable vous appelle-t-on alors qu’il suffirait d’un message ? Si cette pensée vous a déjà traversé l’esprit, sachez que vous n’êtes pas le seul à détester les appels (ou…

Un nouveau jeu The Last of Us en préparation ? Voilà pourquoi les fans y croient

Un post Instagram vient de remettre de l’huile sur le feu des rumeurs concernant le prochain jeu The Last of Us. Y a-t-il  un fond de vérité où est-ce seulement…

-40% sur le Sony WH-1000XM6 : la référence des casques à réduction de bruit devient enfin abordable

Le Sony WH-1000XM6, l’un des meilleurs casques à réduction de bruit voit son prix chuter de près de 40%. Il passe à 284 € au lieu de 449 € grâce…

Bon plan Xiaomi Electric Scooter Elite : cette belle chute de prix sur la trottinette ne va pas durer, vite !

Vous cherchez une trottinette qui soit à la fois puissante et endurante ? Ce bon plan est fait pour vous ! Durant le Choice Day, la Xiaomi Electric Scooter Elite…

Non, ce n’est pas un poisson d’avril : vos données sont peut-être déjà sur le dark web !

Chaque jour, des millions de données personnelles sont dérobées et revendues sur le dark web à l’insu de leurs propriétaires. Faut-il s’en inquiéter ? Oui. Mais bonne nouvelle, vous pouvez…