Les criminels détournés cette semaine ChronoPay.comle nom de domaine du plus grand processeur de paiement en ligne de Russie, redirigeant des centaines de visiteurs sans méfiance vers une fausse page ChronoPay qui a volé les données financières des clients.
Joint par téléphone à Moscou, le directeur général de ChronoPay, Pavel Vrublevsky, a déclaré que la fausse page de paiement était active pendant plusieurs heures, les 25 et 26 décembre, période au cours de laquelle les attaquants ont collecté environ 800 numéros de carte de crédit de clients visitant le site pour effectuer des paiements pour diverses entreprises russes. qui dépendent de ChronoPay pour le traitement.
Lors de l’attaque, le domaine de ChronoPay a été transféré à Network Solutions, et ses serveurs de système de noms de domaine (DNS) ont été changés en « anotherbeast.com », un domaine enregistré sur Solutions réseau le 19 décembre 2010.
Les attaquants ont laissé un message sur la page d’accueil de ChronoPay – conçu pour donner l’impression qu’il avait été publié par Vrublevsky (voir image ci-dessus) – indiquant que des pirates avaient volé les données personnelles de tous les utilisateurs de ChronoPay qui avaient partagé des informations de paiement avec l’entreprise en 2009. et 2010.
Vrublevsky a déclaré que le message était faux – qu’il n’était « absolument pas vrai » – et que les dégâts étaient limités aux 800 numéros de carte. Il a ajouté que la société travaillait toujours avec son registraire Directnic et avec Network Solutions pour comprendre comment les attaquants avaient réussi à détourner le domaine.
Les pirates ont également volé et mis en ligne au moins neuf clés cryptographiques secrètes que ChronoPay utilise pour signer les certificats SSL (Secure Sockets Layer) qui cryptent les transactions des clients sur chronopay.com. Vrublevsky a déclaré que tous ces certificats sauf un avaient été délivrés il y a longtemps : l’un des certificats a été délivré en septembre, mais avec une clé plus ancienne, a-t-il déclaré.
Les lecteurs fidèles de ce blog ont peut-être remarqué que j’ai passé beaucoup de temps à creuser dans les activités et l’histoire de ChronoPay et Vrublevsky. Dans mon premier rapport sur ces deuxj’ai suivi une série de preuves suggérant que Vrublevsky était également le fondateur et le conservateur de Crutop.nu (NSFW), un forum russe de webmasters pour adultes qui a été lié à toutes sortes de méchancetés. Dans ce rapport, j’ai noté que Crutop.nu et Chronopay.com partageaient même le même code Google Analytics (UA-630887) sur leurs pages d’accueil, ce qui suggérait en outre un lien fondamental entre les deux sites.
À l’époque, un porte-parole de ChronoPay a rejeté la connexion, mais le code a disparu de la page d’accueil de ChronoPay peu de temps après la publication de cette histoire. Mais récemment – peut-être ces derniers jours – il a apparemment été remis en place. Vous pouvez le voir en chargeant la page d’accueil de chaque site, en cliquant avec le bouton droit sur la page et en sélectionnant « afficher la source » ou « afficher la source de la page », selon votre navigateur. Voici une liste des autres sites qui utilisent également ce code Google Analytics.