Dochodzenie pokazuje, że było to częścią wysoce wyrafinowanego oszustwa, którego celem było 800 witryn e-commerce na całym świecie. Grupa hekerów odpowiedzialna za ataki zwana jest Magecart, "skimmerzy" z cyfrowymi kartami o skomplikowanej technice. Atakują firmy, które integrują swoje oprogramowanie z Ticketmaster i zastępują ich moduły javascript złośliwym kodem zaprojektowanym w celu kradzieży informacji o płatnościach.
Tym sposobem moduł javascript Inbenta został naruszony podczas ataku. Oprócz strony Inbeta w Wielkiej Brytanii, dotknęło to wiele stron internetowych Ticketmaster na całym świecie, w tym strony z Irlandii, Turcji i Nowej Zelandii. "Ticketmaster Niemcy, Ticketmaster Australia i Ticketmaster International (wcześniej wymienione w zmiance o naruszeniu Inbenta) również zostały naruszone poprzez serwis postronnej firmy, która jest dostarczycielem usług", stwierdziła firma.
Wygląda na to, że przeciętne hackowanie stron internetowych straciło swoją świetność, a Magecart to grupa, którą badacze znają i w przeszłości już wyrażali swój niepokój związany z jej działalnością. Poprzednie naruszenia, w które hakerzy byli zamieszani dotyczyły m.in. firmy zajmującej się integracją mediów społecznościowych, firmy związanej z analityką internetową i platformy CMS. Jak pokazało dochodzenie, hakerzy wysyłali fałszowane dokumenty ze szczegółami płatności już w grudniu 2016 roku.
"Nasze śledztwo po naruszeniu Inbenta ujawniło dowody, że atak Inbenta nie był jednorazowy, ale wskazywał na zmianę strategii stosowaną przez Magecart z koncentracji na fragmentarycznych kompromisach na kierowaniu ataku na zewnętrznych dostawców takich jak Inbenta w celu wykonywania bardziej dotkliwych szkód kart danych" napisali analitycy.
"JavaScript jest od dawna używany jako narzędzie do infekowania stron internetowych, ponieważ jest to język programowania, który powstaje w ramach codziennego życia użytkownika. W rzeczywistości, w połowie 2016 roku pojawiły się informacje na temat szczepu oprogramowania ransomware całkowicie zakodowanego w JavaScript, ukrytego w załącznikach do wiadomości e-mail. Zagrożenie w tych atakach ma jeden kluczowy aspekt: złośliwe oprogramowanie dostarczane przez zainfekowane pliki JavaScript nie wymaga interakcji ze strony użytkownika.
Powinniśmy zdawać sobie sprawę z kilku rzeczy: Unikać przesyłania plików, sprawdzać hasła, ostrzegać przed komunikatami o błędach i aktualizować oprogramowanie" komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
