В сегодняшней статье вы узнаете, как оплатить с помощью платежной карты на портале продаж в Интернете (порталы электронной коммерции), вы можете легко стать жертвой кражи. Мы опишем новейшую угрозу MageCart и покажем методы, используемые современными киберпреступниками для сокрытия вредоносного кода на сайте и кражи данных карточки пользователя с его использованием. Наконец, мы дадим советы и рекомендации о том, как защитить себя и защитить себя от этой мошенничества как от владельцев сайта, так и от пользователей.
введение
Прошли те времена, когда преступники устанавливали специальные, незаметные электронные устройства (так называемые скиммеры) в банкоматах, чтобы отнять у нас деньги, с помощью которых они копировали данные карты. Поскольку использование такого скиммера является дорогим, рискованным и относительно простым в обнаружении, оказывается, что подобные методы атаки все больше адаптируются в Интернете. В эпоху сегодняшней оцифровки и очень большого роста популярности покупок в магазинах и порталах электронной коммерции расходы на атаки намного ниже. В то же время их масштаб увеличивается. Это влияет на больше пользователей.
Как оказалось, основываясь на недавних открытиях, киберпреступники все чаще обращаются к этому методу атаки. Только в 2019 году тысячи сайтов были заражены! Также прискорбно, что они использовали человеческую доброту и готовность помогать другим в действиях, называемых «пожертвовать», чтобы украсть данные, то есть пожертвовать деньги на достойные цели. Например, недавно они использовали веб-скиммер Magecart, чтобы грабить людей, переводящих деньги в Австралию, которая сейчас перерастает в апокалиптический пожар.
Ниже мы решили описать проблему более подробно, поскольку в Интернете обнаруживается все больше и больше сайтов электронной коммерции, зараженных вредоносным ПО для кражи данных с карт. Угроза называется «MageCart».
Что такое MageCart?
MageCart - это собирательный термин для многих хакерских групп, появившихся в последние годы. Хакеры используют различные тактики для использования уязвимостей в безопасности и захвата данных клиентов - в основном, имен пользователей, паролей и информации о кредитных картах. В этом случае распространенным методом атаки является атака на цепочку поставок (внешние поставщики услуг), например на систему платформы продаж Magento . Целью хакеров является компрометация программного обеспечения, предоставленного производителем или системным интегратором, или заражение процесса продаж на веб-сайте без ведома продавца или ИТ-отдела путем внедрения в него вредоносного кода (веб-скиммера).
Многие витрины загружают сторонние скрипты для показа рекламы, чата, анализа и т. Д. Заражая популярный инструмент, Magecart может получить доступ ко всем сайтам, которые его используют. Особое внимание уделяется сайтам электронной коммерции и их корзинам, которые являются привлекательной целью, поскольку они собирают информацию о платежах от клиентов. Почти все сайты электронной коммерции, которые используют корзины для покупок, неправильно проверяют код, используемый с этими сторонними элементами - поэтому у киберпреступников есть рецепт для готового «взлома». Такое вредоносное ПО, внедренное на сайт (скиммер), трудно обнаружить, особенно для малых предприятий, которые не используют передовые технологии и могут одновременно воздействовать на сотни клиентов. Это делает его любимым методом атаки среди киберпреступников.
Скиммеры заражают страницы с помощью другой третьей стороны, такой как плагин или сайт электронной коммерции. Этот метод заражения проще для киберпреступников, поскольку он часто содержит более слабую структуру кода и чаще всего процесс заражения происходит только на тех небольших сайтах, которые не используют строгие меры кибербезопасности. Когда скрипт заражает веб-сайт, он передает пароли, личные данные и номера кредитных карт обратно на серверы злоумышленников.
Magecart известна с 2016 года и довольно популярна. Недавно он был описан как « Угроза номер один в кибербезопасности ». Только в 2019 году тысячи сайтов были захвачены им! Самая большая атака на сайт British Airways. В результате 5-дневной атаки, помимо потери репутации клиента, компания была оштрафована на 183 миллиона фунтов за нарушение данных клиента!
Пример работы скиммера MageCart
Чтобы показать, как работает MageCart, мы использовали пример вредоносного кода, недавно обнаруженного специалистами Malwarebytes на одном из зараженных сайтов продаж. Сайт содержал изображение, на котором был скрыт вредоносный код скиммера, используя технику, называемую стеганографией.
. Пример изображения можно посмотреть по адресу: hxxps: // www. trueinaging [.] com / media / wysiwyg / FreeShipping.jpg
И это выглядит так:
Казалось бы, ничто не указывает на то, что картина выглядит подозрительно. Кроме того, он отлично вписывается в тему сайта электронной коммерции, информируя о бесплатной доставке при покупке товаров покупателями. Благодаря технике стеганографии киберпреступники скрыли в себе вредоносный код.
Это отличный способ атаковать сайты электронной коммерции, на которых обычно много изображений. Чтобы их код не был обнаружен, киберпреступники могут легко поменять их местами, не заметив владельцев!
Анализ изображения
Если мы предварительно просматриваем картинку в Fiddler, то получается, что картинка искажена (у нее странный код).
В шестнадцатеричном превью мы увидим скрытый код скиммера.
Оказывается, внутри файла есть вредоносный код. Чтобы извлечь его, злоумышленники внедрили следующий код Javascript на взломанный веб-сайт:
Этот код JavaScript, встроенный в страницу магазина, вырезает и загружает вредоносный код из изображения и запускает его. Для сравнения мы включили 2 результата возвращаемого текста из изображения ниже:
• Сначала используем функцию responseText () - возвращается неразборчивый код.
• Второе использование функции responseText.slice () - возвращается код скрипта.
Полный код скиммера можно найти по следующей ссылке:
hxxps: // gist [.] Github [.] Com / krautface / dab3e44d55d2505e795e0cbd26089296
Для того, чтобы выяснить, в какой степени антивирусная программа обнаруживает скиммер, мы загрузили скрипт на портал VirusTotal, так что мы получили результат, что только 3 сканера признали его злонамеренным.
Методы работы MegaCart
В прошлом году аналитики RiskIQ и Flashpoint опубликовали отчет, в котором анализируется код Magecart и методы его работы. По крайней мере семь различных хакерских групп отслеживаются, которые активно разрабатывают различные версии вредоносных программ, добавляя различные улучшения и хитрости. Каждая группа имеет свою собственную отличительную сигнатуру и методы, чтобы исследователи могли их классифицировать. Исследования показали ряд достижений в этом семействе вредоносных программ, и используются новые методы заражения веб-сайтов. К ним, среди прочего, относятся:
- Заражение новыми плагинами для магазинов - самой популярной является ранее упомянутая корзина платформы Magento. Недавно мы обнаружили заражение с помощью плагина производителя Shopper Aproved (https://www.shopperapproved.com), который позволяет клиентам оценивать различные сайты и вручать призы магазинам в виде значков. Исследователи обнаружили, что вредоносное ПО наконец-то внедрено на более чем 7000 сайтов электронной коммерции. После того, как исследователи определили источник заражения, Shopper Approved быстро приступил к удалению вредоносного ПО.
- Использование рекламных серверов (рекламных серверов) - вторым направлением по-прежнему является атака на корзины для покупок на сайтах, но при этом используется новый метод заражения рекламных баннеров. Код Magecart размещается на сервере интернет-рекламы, и когда пользователь отображает рекламу в браузере, код загружается на компьютер. Вредоносный код также может размещаться на зараженном сервере и скрываться даже в размещенном на нем изображении (пример описан выше).
- Использование более целенаправленных и более сложных атак - этот подход отходит от широко распространенного вредоносного ПО среди поставщиков программного обеспечения интернет-магазинов и направлен на то, чтобы тратить время на то, чтобы киберпреступники анализировали код на сайте и инфраструктуру потенциальных жертв. Так было с British Airways, когда хакеры использовали ошибки в логике потока своих внутренних приложений. В скрипте на странице было обнаружено до 22 строк зараженного кода с информацией о багаже клиентов British Airways. В этом случае для заражения использовалась атака XSS, которая поставила под угрозу собственные серверы British Airways.
Как бороться с проблемой?
Советы для клиентов (потребителей)
Конечные пользователи при совершении покупок в Интернете подвергаются значительному риску, поскольку их платежные реквизиты доступны в Интернете. Мы рекомендуем следующие советы для потребителей, чтобы минимизировать риск кражи данных:
- Используйте безопасные и проверенные способы оплаты.
Старайтесь избегать сайтов интернет-магазина, где вы должны предоставить дополнительные данные карты. Если ваш сайт имеет интеграцию с безопасным внешним платежным механизмом, риск перехвата ваших данных будет меньше. - Используйте для отдельной онлайн-карты оплаты.
Если вы совершаете покупки в Интернете, лучше всего использовать одну специальную карту, на которую вы переводите определенную сумму денег. Благодаря этому, если вы скопируете данные своей карты, вы не сможете украсть все деньги со своего счета. Некоторые банки предлагают такие карты для онлайн-платежей. В любом случае, не указывайте реквизиты своей банковской карты, связанные с основным банковским счетом, на котором вы храните деньги! Также стоит включить SMS-уведомление в банке о каждой транзакции, осуществляемой на карте, чтобы в случае возникновения проблемы вы могли среагировать и заблокировать ее. - Тщательно продумайте онлайн-продавцов, чьи сайты вы посещаете и кому вы отправляете платежные данные. Помните, что в определенный момент некоторые веб-сайты интернет-продаж могут подвергаться риску и представлять риск, неизвестный их владельцам. Без высокого уровня наглядности и знаний о методах кибератак может быть трудно отличить сайты высокого риска. Старайтесь делать покупки у продавцов, которым вы доверяете и которые стремятся защитить данные ваших клиентов.
- Сохраняйте безопасную конфигурацию на всех компьютерах, используемых для покупок в Интернете.
Любая система, используемая для онлайн-банкинга или интернет-магазина, должна быть известной, надежной или надежной конечной точкой. Это касается настольных компьютеров, ноутбуков, планшетов, мобильных телефонов и даже виртуальных машин. Избегайте общедоступных систем и компьютеров, работающих в режиме киоска (многие пользователи входят в него)! Это также относится к платежам, осуществляемым через публичные сети Wi-Fi. Операционная система и все обновления безопасности приложения должны быть обновлены. Другие меры безопасности могут использоваться для устранения определенных угроз, таких как хорошее антивирусное программное обеспечение или другие решения для обеспечения безопасности конечных точек. Также избегайте установки дополнительных и малоизвестных плагинов для браузера, которые могут быть уязвимы для атаки. - Белый список и плагины браузера.
Эффективный контроль, который может предотвратить кибератаки, такие как Magecart, заключается в использовании таких плагинов для веб-сайтов, как NoScript (для Mozilla Firefox). Эти дополнения работают, позволяя конечному пользователю определять, какие веб-сайты являются «доверенными», и предотвращать запуск сценариев и другого опасного интернет-контента. С помощью этого инструмента браузер не будет загружать вредоносные сайты, на которых размещаются скрипты, которые крадут кредитные карты, что препятствует доступу логики скрипта к данным платежной карты. Конечно, эта защита не будет работать для надежного сайта, который также может быть заражен рано или поздно.
Советы для провайдеров электронной коммерции
Поскольку киберпреступники стремятся максимально расширить возможности получения дохода, они нацелены на технологии, наиболее часто используемые в интернет-магазинах, и их владельцы должны предпринять все необходимые меры для защиты данных и информации на платежных картах своих клиентов. Неприятный инцидент на веб-сайте продавца может означать потерю дохода, поскольку ключевые клиенты / пользователи начнут покупать в другом месте, а также получат штраф. Magecart также оказывает влияние на интеграторов или производителей программного обеспечения, которые отвечают за безопасность внедряемых приложений. Поэтому обратите внимание на следующие рекомендации.
Руководство и рекомендации для поставщиков:
- Сделки должны обрабатываться доверенной компанией.
Работа с сайтом электронной коммерции подразумевает определенные обязательства, особенно если на нем обрабатывается информация об оплате. В этом случае обычно владельцы веб-сайтов выбирают более безопасный (и более простой) вариант - они передают финансовые транзакции на аутсорсинг более крупным, доверенным веб-сайтам / поставщикам, например банкам или посредникам, таким как PayPal, DotPay и т. Д. Если они используют собственный механизм на своем портале платежи по карте должны соответствовать требованиям PCI и рискам сбора данных. Это может быть ошеломляющим для них, особенно для тех владельцев сайтов, которые предпочитают сосредоточиться на бизнес-аспекте. - Проверьте целостность сторонних ресурсов.
Это один из аспектов безопасности, который часто упускается из виду, но может обеспечить огромные преимущества при загрузке внешнего контента. Реальность такова, что веб-сайт обычно не может содержать весь контент, и имеет больше смысла полагаться на CDN и других провайдеров для скорости и стоимости. - Внедрить систему для защиты веб-сервера, на котором у нас есть веб-сайт, или проверить, есть ли у нашего сервера-провайдера такое решение. В нашей статье мы сосредоточились на краже кредитных карт, но есть много других угроз, которые вы можете распространять через библиотеки, а не просто хранить плагины.
- Создавайте и повышайте уровень безопасности среди администраторов сайтов электронной коммерции или ИТ-отделов вашей компании.
В частности, они должны знать рекомендации по контролю безопасности и лучшие практики электронной коммерции в отношении пакетов программного обеспечения и систем, используемых на сайте. Все программное обеспечение операционной системы и программное обеспечение интернет-магазина должны быть обновлены. Очень важно быть в курсе рекомендаций безопасности разработчиков программного обеспечения и убедиться, что применяется корректное исправление не только для базового пакета, но также для сторонних плагинов и связанных компонентов. - Используйте хорошие методы безопасности.
Администраторы сайта и системы должны защищать учетные данные, используемые для доступа к административным интерфейсам, а базовые среды хостинга и пароли следует регулярно менять. По возможности используйте методы строгой аутентификации, чтобы снизить риск кражи учетных данных. Многофакторная проверка подлинности или двухэтапная проверка являются распространенными и эффективными для этого. Вместо традиционных логинов и паролей рекомендуется использовать криптографические ключи и токены аутентификации для доступа к хост-серверам. - Если вы используете WordPress на своем сайте продаж, обязательно обновитесь до версии 5.2 , которая специально отображает экран и пытается предотвратить атаки цепочки поставок по всей библиотеке плагинов.
Методы атаки MageCart, описанные выше, несомненно, создают большую проблему для специалистов по безопасности / продавцов (способы защиты) и для самих пользователей (недоверие при совершении покупок). Рынок электронной коммерции является соблазном для киберпреступников.
В то время как большинство авторов вредоносных программ продолжат использовать традиционные методы, более продвинутые разработчики найдут новые способы избежать обнаружения. Некоторые методы могут быть обнаружены только исследователями, в то время как другие могут обойти индексирование роботов.
Как потребители, мы должны помнить, что мы очень доверяем интернет-магазинам, в которых мы совершаем покупки. По этой причине может быть целесообразно избегать небольших сайтов, которые могут не иметь такой же уровень безопасности, как большие. Конечно, в случае British Airways проявляются ограничения приведенного выше совета. Использование плагинов для браузера, таких как NoScript, может помешать JavaScript загружать ненадежные страницы и, таким образом, уменьшить поверхность атаки. Однако у него есть недостатки, особенно когда вредоносный код встроен в доверенные ресурсы.
Работа Magecart и других сетевых скиммеров может быть уменьшена путем блокировки соединений с известными доменами и IP-адресами, используемыми злоумышленниками.
Давайте также помнить, что наши советы о том, как защитить себя, не являются панацеей от зла на 100%. Только они могут компенсировать их возникновение. Методы атак, используемые киберпреступниками, постоянно совершенствуются, поэтому мы надеемся, что предупредим вас о них заранее и отправим в Hack 🙂