Los usuarios de Air Europa recibieron esta semana por parte de la aerolínea un email advirtiendo que había sufrido un ciberataque que ha supuesto el robo de información bancaria de algunos clientes. En concreto, los datos sustraídos son el número de un número indeterminado de tarjetas, sus fechas de caducidad y el CVV. La compañía ha confirmado el ataque informático sufrido, pero no ha dado detalles ni el número de afectados ni el alcance temporal del ataque.
A pesar de que la aerolínea de Globalia asegura que está todo bajo control, y de que ninguno de los clientes ha sufrido ningún tipo de fraude con el uso de las tarjetas, recomiendan tomar una serie de medidas para evitar daños mayores como contactar con su entidad bancaria para cancelar la tarjeta de crédito que hayan utilizado para pagos con su empresa. Y hacen las típicas recomendaciones: no facilitar información personal, el pin, nombre o cualquier otro dato personal a través de teléfono, mensaje o email, incluso cuando se identifiquen como su entidad bancaria. Y que tampoco hagan clic en enlaces que le avisen de operaciones fraudulentas.
Sin embargo, cabe recordar que no es la primera vez que Air Europa es víctima de hackeo, pues ya fue sancionada en 2021 por un incidente ocurrido en 2018 por no proteger los datos de sus clientes cuando tuvo que hacer frente a una multa de 600.000 euros impuesta por la Agencia Española de Protección de Datos.
Ese mismo año, otra aerolínea, British Airways, anunció que había sufrido un ataque que provocó el robo de información confidencial de 380,000 de sus clientes. Al igual que ha ocurrido con la española Air Europa, entre la información sustraída estaban los datos de los métodos de pago usados por los usuarios.
En ese momento fue Magecart quien estuvo detrás de la sustracción de información de pago de los clientes de British Airways tal y como os contábamos. En ese caso, los atacantes lograron hacerse con el control del servidor y ocultaron código Javascript dentro de una librería (Modernizr).
No han trascendido detalles técnicos del ataque a Air Europa, pero este coincide con una nueva campaña tipo formjacking o web skinning por parte de Magecart que manipula la página de error 404 predeterminada de los sitios web para ocultar código malicioso en lo que se ha descrito como la última evolución de los ataques.
Se trata de una forma de fraude en línea que involucra la infiltración en sitios web de ecommerce para robar datos de tarjetas de crédito de los clientes mientras realizan compras. Los atacantes insertan código malicioso en ciertas páginas, con el objetivo de capturar y transmitir los datos de la tarjeta de crédito a un servidor controlado por los atacantes.
La técnica empleada por Magecart implica insertar código directamente en la página afectada, o en alguno de los scripts que se importan al cargar el sitio web. La carga útil se importa de forma indirecta en tiempo de ejecución, así se consigue ofuscar el comportamiento del código malicioso. Una vez obtenidos los datos de pago de las víctimas, éstos se envían a un servidor remoto.
«Este código es responsable de llevar a cabo diversas actividades maliciosas en la página sensible atacada, con el objetivo de leer los datos personales y de tarjetas de crédito sensibles del usuario y transmitirlos de vuelta al servidor C2 del skimmer».
Roman Lvovsky, investigador de seguridad de Akamai.
En esta nueva campaña se han descubierto tres modalidades distintas:
- En la primera de ellas una imagen HTML mal formada provoca una llamada a una función onerror que carga el código JavaScript malicioso ofuscado. Éste realiza el robo de datos y establece una conexión websocket para su envío a un servidor controlado por los atacantes.
- En la segunda versión un script que trata de simular el código de Meta Pixel, un popular tracker de visitas, descarga una supuesta imagen que realmente contiene el código JavaScript malicioso codificado en Base64.
- La tercera modalidad presenta características más novedosas. En este caso el código malicioso se carga usando la página de error 404 por defecto del sitio web. Además la forma de recopilar la información varía, puesto que se ocultan los formularios originales de la página y se superponen otros para realizar el robo de credenciales. En vez del establecimiento de una comunicación websocket, en este caso cuando la víctima completa la introducción de las credenciales se realiza una petición al servidor remoto. En ella se encuentra un parámetro codificado en Base64 que lleva la información robada.
Ataques cómo el de Magecart han afectado a numerosas empresas en los últimos años, exponiendo datos sensibles de los consumidores. British Airways recibió una multa de 183M de libras, la mayor hasta la fecha en Reino Unido, por incumplir la Ley de protección de datos. En este otro post os contamos cómo Ticketmaster fue víctima de Magecart.
Desde 2017, empresas y administraciones públicas de España han recibido 695.101 ataques, según datos de Pandora FMS. En el ranking por sectores que más ataques de seguridad informática sufrieron se sitúa, en primer lugar, el energético que tuvo casi el 40% de las ofensivas en 2022. En segundo lugar, el transporte con el 22%, seguido del sector financiero con casi el 18% de los ataques.
Según las tasas de fatalidad, todos los datos apuntan a que “volar es más seguro” que otros medios de transporte, pero ataques como los descritos permiten que ciberdelincuentes de altos vuelos entren hasta la cabina. Las líneas aéreas, como otras empresas, son objeto de ataques que aprovechan sus vulnerabilidades para hacer que sus usuarios mantengan “los pies en la tierra”.
Más información:
- https://www.aepd.es/documento/reposicion-ps-00179-2020.pdf
- https://unaaldia.hispasec.com/2018/09/magecart-detras-de-la-sustraccion-de-informacion-de-pago-de-los-clientes-de-british-airways.html
- https://unaaldia.hispasec.com/2019/07/multada-british-airways-por-183m-de-libras-al-incumplir-la-gdpr.html
La entrada Air Europa sufre un ciberataque y pide a sus clientes que cancelen sus tarjetas de crédito se publicó primero en Una al Día.