Czym są ataki Magecart
Magecart to zbiorcza nazwa dla grupy cyberprzestępców i technik ataku polegających na wstrzykiwaniu złośliwego kodu JavaScript do stron płatności sklepów internetowych. Celem jest przechwycenie danych kart płatniczych klientów w momencie ich wprowadzania — tzw. digital skimming lub web skimming.
Nazwa pochodzi od platformy Magento, która była pierwszym masowym celem tych ataków, ale dziś Magecart dotyka wszystkie platformy e-commerce: WooCommerce, PrestaShop, Shopify (przez customowe skrypty) i rozwiązania dedykowane.
Od 2018 roku ataki Magecart dotknęły ponad 18 000 domen, w tym British Airways, Ticketmaster i Newegg. Szacuje się, że straty finansowe z tego typu ataków przekraczają 4 miliardy dolarów rocznie na świecie.
Jak przebiega atak Magecart — krok po kroku
Typowy atak Magecart przebiega w kilku fazach:
Faza 1: Uzyskanie dostępu Atakujący wykorzystuje podatność w platformie sklepowej, nieaktualnej wtyczce lub przejmuje konto administracyjne. Coraz częściej celem są dostawcy trzeci — np. firma dostarczająca widgety czatu, analitykę lub A/B testing.
Faza 2: Wstrzyknięcie skimmera Złośliwy kod JavaScript jest wstrzykiwany bezpośrednio na stronę checkout lub do zewnętrznego pliku JS ładowanego przez sklep. Skrypt monitoruje formularz płatności i przechwytuje dane w momencie ich wpisywania.
Faza 3: Eksfiltracja danych Skradzione dane (numer karty, CVV, data ważności, dane osobowe) są przesyłane na serwer kontrolowany przez atakujących. Transmisja jest często maskowana — np. jako zapytanie do Google Analytics lub jako plik obrazka.
Faza 4: Monetyzacja Dane kart trafiają na dark web, gdzie są sprzedawane po 5-45 USD za kartę. Atakujący mogą też wykorzystywać dane bezpośrednio do zakupów.
Warianty ataków Magecart
Ewolucja technik Magecart obejmuje kilka wariantów:
- Client-side skimming — kod JavaScript wstrzyknięty bezpośrednio na stronę sklepu. Najłatwiejszy do wykrycia przez skanowanie kodu.
- Supply chain attack — atak na dostawcę trzeciego (np. CDN, serwis analityczny). Jeden zainfekowany dostawca może zainfekować tysiące sklepów jednocześnie.
- Server-side skimming — kod wstrzyknięty do backendu serwera. Znacznie trudniejszy do detekcji, bo nie jest widoczny w kodzie źródłowym przeglądarki.
- Formjacking przez iframe — podmiana formularza płatności na złośliwy iframe wyglądający identycznie jak oryginalny.
Coraz częstsze są ataki łańcuchowe, gdzie Magecart jest tylko jednym elementem — po wykradzeniu danych kart, atakujący instalują też backdoora umożliwiającego ponowny dostęp.
Jak wykryć atak Magecart w swoim sklepie
Detekcja Magecart wymaga wielowarstwowego podejścia:
Monitoring integralności plików (FIM) Narzędzia File Integrity Monitoring śledzą zmiany w plikach JavaScript na serwerze. Każda nieautoryzowana modyfikacja pliku checkout jest natychmiastowym alertem.
Content Security Policy (CSP) Konfiguracja nagłówków CSP ogranicza, z jakich domen mogą być ładowane skrypty. Próba załadowania skryptu z niezaufanej domeny zostanie zablokowana i zarejestrowana.
Skanowanie kodu JavaScript Regularne skanowanie kodu front-end pod kątem podejrzanych wzorców: obfuskowany JavaScript, odwołania do nieznanych domen, nasłuchiwanie na zdarzenia formularzy.
Real User Monitoring (RUM) Monitoring zachowania strony u realnych użytkowników pozwala wykryć anomalie — np. dodatkowe żądania sieciowe ze strony checkout.
Ochrona sklepu przed Magecart
Skuteczna ochrona wymaga kombinacji działań technicznych i organizacyjnych:
Działania techniczne:
- Wdrożenie WAF (Web Application Firewall) z regułami specyficznymi dla e-commerce
- Implementacja Subresource Integrity (SRI) dla wszystkich zewnętrznych skryptów
- Content Security Policy z restrykcyjnym whitelistingiem domen
- Regularne testy penetracyjne platformy sklepowej
- Automatyczne skanowanie podatności wtyczek i komponentów
- Tokenizacja płatności — przeniesienie obsługi kart do zewnętrznego providera (np. Stripe, Adyen)
Działania organizacyjne:
- Audyt dostawców trzecich i ich polityk bezpieczeństwa
- Procedura szybkiego reagowania na alerty bezpieczeństwa
- Monitoring bezpieczeństwa działający 24/7
- Regularne przeglądy uprawnień dostępu do panelu administracyjnego
Magecart a zgodność z PCI DSS
Atak Magecart bezpośrednio narusza wymagania standardu PCI DSS, który obowiązuje każdy sklep przetwarzający dane kart płatniczych.
Kluczowe wymagania PCI DSS w kontekście Magecart:
- Wymaganie 6.4.3 — zarządzanie skryptami ładowanymi na stronach płatności
- Wymaganie 11.6.1 — detekcja nieautoryzowanych zmian na stronach płatności
- Wymaganie 12.8 — zarządzanie bezpieczeństwem dostawców trzecich
PCI DSS v4.0 (obowiązujący od marca 2025) wprowadził nowe wymagania bezpośrednio odpowiadające na zagrożenie Magecart, w tym obowiązkowy monitoring integralności skryptów po stronie klienta.
Naruszenie PCI DSS grozi karami do 500 000 USD miesięcznie, utratą możliwości przyjmowania płatności kartami i odpowiedzialnością za straty klientów.
Co zrobić po wykryciu ataku Magecart
Gdy wykryjesz atak Magecart, czas reakcji jest krytyczny:
- Izolacja — natychmiast usuń złośliwy kod lub wyłącz zainfekowany skrypt
- Ocena zakresu — ustal, jak długo skimmer był aktywny i ilu klientów dotyczy
- Powiadomienie — zgłoś incydent do procesora płatności, CERT i (jeśli dotyczy RODO) do Prezesa UODO w ciągu 72h
- Analiza forensic — ustal wektor ataku i zamknij lukę bezpieczeństwa
- Komunikacja z klientami — poinformuj dotkniętych klientów zgodnie z wymogami RODO
- Hardening — wdroż dodatkowe zabezpieczenia, aby zapobiec powtórnemu atakowi
Rekomendujemy przeprowadzenie pełnego audytu bezpieczeństwa po incydencie, aby zidentyfikować wszystkie potencjalne wektory ataku.
Cyberbezpieczeństwo w Twojej branży
Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:
