Golpistas têm usado metadados de ícones de site para obter informações de cartão de crédito
No meio de um ciclo de notícias da caótica pandemia global e de agitação civil, pessoalmente encontro consolo em histórias sobre as constantes nas quais podemos confiar. Uma delas é a de que golpistas sempre encontrarão uma forma de enganar pessoas.
O último truque, descoberto pela empresa de segurança Malwarebytes, é inserir malwares que roubam cartões de crédito nos metadados de um determinado arquivo de imagem, que pode ser carregado na página da web de uma loja de comércio eletrônico invadida, tornando bem difícil de o comprador tomar ciência disso.
O malware em questão aqui, Magecart, foi detectado em outros esquemas de escaneamento de cartão de crédito, mas é a primeira vez que ele é pego se escondendo por trás de um favicon (aquele ícone com o logo do site que aparece na barra de endereços).
Este ícone em particular que a equipe da Malwarebytes encontrou foi de um site do WordPress executando um plugin para o popular serviço de compras online WooCommerce. A loja em questão havia sido claramente comprometida e, como descobriram, um pequeno código de tecnologia para captação de dados de cartão de crédito foi enterrado nas profundezas do favicon do site, que é um logotipo de uma marca específica.
Quando esse arquivo de imagem é carregado, de acordo com a equipe de segurança da Malwarebytes, ele captura o conteúdo que um computador pode inserir ao fazer uma compra, como nome, endereço de cobrança ou entrega e, é claro, o número do cartão de crédito.
É complicado rastrear onde esse tipo de malware pode estar escondido em uma determinada loja on-line — especialmente se você não é um pesquisador de segurança cibernética. Embora essa instância em particular usasse um favicon para ocultar o malware, teoricamente, ele poderia estar oculto em qualquer imagem em uma determinada página.
Dito isto, existem algumas maneiras fáceis de manter suas informações em sigilo. A integração de algum tipo de tecnologia antivírus ou anti-malware é um bom ponto de partida e existem alguns toolkits excelentes lançados por organizações como a EFF (Electronic Freedom Foundation). Além disso, nunca é uma má ideia acompanhar o seu instinto: se uma loja online parecer esquisita, é melhor não comprar lá.