[CERT-Stoïk] Détournement des moyens de paiement sur un site PrestaShop

Leslie Fornero
Dernière mise à jour :

L’équipe de réponse aux incidents de sécurité de Stoïk répond directement aux assurés lorsqu’ils sont victimes d’une cyberattaque. L’objectif : exclure l’attaquant du système d’information le plus rapidement possible pour pouvoir le remettre en état et permettre une reprise d’activité en un temps record. Voici ici comment nos équipes du CERT-Stoïk ont accompagné une entreprise de e-commerce dont les moyens de paiement avaient été détournés par un attaquant.

cyberattaque détournement moyens paiement prestashop

Une cyberattaque confirmée suite à un simple doute

Depuis plusieurs jours, notre client détecte une activité qui lui semble suspecte sur son site de e-commerce. Son premier réflexe est alors de se tourner vers son prestataire informatique pour l’en informer. Après investigation, le prestataire explique à notre client qu’il n’a rien trouvé et qu’il ne s’agit pas d’une cyberattaque.

C’est à ce moment-là que notre assuré nous contacte pour nous faire part de son doute. Notre CERT-Stoïk met tout de suite une équipe à disposition pour investiguer. On découvre très rapidement des connexions provenant d’adresses IP suspectes, attribuées au réseau Tor, très utilisé par les cybercriminels. Nous confirmons que ces connexions ne viennent pas des collaborateurs de l’entreprise : il y a bien une cyberattaque en cours.

Nous encourageons vivement nos assurés à nous contacter au moindre doute. N’attendez pas d’être certains de vous faire attaquer pour composer le numéro d’urgence du CERT-Stoïk. Plus l’attaque sera traitée en amont, moins elle fera de dégâts !

L’attaquant avait remplacé les moyens de paiements

Deuxième étape pour notre équipe CERT-Stoïk : vérifier si des éléments ont été modifiés récemment sur le site web. Nous découvrons très rapidement que les coordonnées bancaires du module de paiement ont été modifiées :

  • L’attaquant avait modifié le module de paiement par carte pour récupérer les numéros de CB et CVV, ou simplement détourner le paiement vers son propre compte.
  • Il avait remplacé les coordonnées bancaires de l’entreprise par les siennes pour recevoir tous les paiements par virement effectués.
Il s’agit d’une méthode d’attaque assez classique : l’attaquant exploite une faille dans le module de paiement pour modifier le moyen de paiement et les coordonnées bancaires. Les sites de e-commerce doivent apporter une vigilance accrue sur les mises à jours de leurs modules de paiement.

Découvrez comment le CERT-Stoïk a permis à un réseau de concessions automobiles de reprendre une activité normale en un temps record suite à une intrusion malveillante.
Lire l'article

Une journée pour remettre le site en état de marche

Une fois l’attaque découverte, le travail de remédiation peut commencer :

  1. Nous supprimons tous les fichiers qui ont été ajoutés ou modifiés par l’attaquant ;
  2. Nous rétablissions les bonnes informations de paiement sur le module concerné ;
  3. Nous supprimons le module vulnérable tiers qui était compromis ;
  4. Nous procédons à un renouvellement de tous les mots de passe des utilisateurs.

Résultat, en une journée, le site de e-commerce fonctionne à nouveau normalement.

Nos conseils pour éviter une cyberattaque sur un module de paiement : faire les mises à jour et mettre en place un outil de surveillance des logs.

Notre client était ravi de la prestation apportée par notre CERT-Stoïk et compte prendre de nouvelles mesures de cybersécurité pour son entreprise.

Un autre exemple
Découvrez comme notre équipe CERT-Stoïk a remis un site internet en état de marche en moins de 12 heures.
Lire l'article

Un dernier exemple
Découvrez comment le CERT-Stoïk a localisé et isolé un attaquant qui s’était introduit dans le système d’information d’une entreprise de e-commerce en pleine période de solde pour y déployer un ransomware.
Lire l'article
Inscrivez-vous à notre newsletter cyber !