Сетевые скиммеры становится все труднее обнаруживать и удалять из-за развития технологий
Кардеры используют все более изощренные методы для сокрытия вредоносного кода на веб-сайтах электронной коммерции с целью кражи данных платежных карт. Эти вредоносные скрипты, известные как веб-скиммеры, за последний год привели к серьезным нарушениям в онлайн-магазинах и, скорее всего, будут продолжать вызывать проблемы в течение некоторого времени.
Взлом веб-сайтов электронной коммерции и кража данных кредитных карт из баз данных насчитывает 15 и более лет. Однако по мере того, как безопасность как физических, так и онлайн-транзакций со временем повышалась, атаки переместились на точку входа, а не на хранимые записи.
За последний год специалисты по безопасности исследовали и отслеживали растущее число злоумышленников, которые специализируются на взломе веб-сайтов и внедрении вредоносных обфусцированных скриптов для кражи данных карты, когда пользователи вводят их на платежные страницы. Одна из самых плодовитых таких банд называется Magecart и на самом деле является зонтичной организацией с различными подгруппами.
Magecart - ведущая веб-угроза для снятия карт
Magecart несет ответственность за недавние взломы карт на веб-сайтах, принадлежащих таким известным компаниям, как British Airways, TicketMaster, Newegg, Feedify, Shopper Approved, а также на сайтах, принадлежащих многочисленным более мелким онлайн-торговцам. Его участники известны тем, что используют скрытые и умные методы, чтобы затруднить обнаружение своих инъекций, иногда даже ставя под угрозу различных сторонних поставщиков услуг, у которых уже есть свой законный код, загруженный на веб-сайты.
Исследователи из компании по безопасности RiskIQ недавно проанализировали две атаки, приписываемые Magecart, которые были обнаружены в историческом наборе данных компании, полученном со сканированных веб-сайтов. Обе эти атаки подчеркивают, как злоумышленники приспосабливаются к защите и соответственно меняют свою тактику.
Одним из них был взлом веб-сайта, который, согласно данным RiskIQ, произошел в октябре 2018 года и затронул MyPillow.com, американского продавца постельных принадлежностей. Сначала злоумышленники зарегистрировали домен с аналогичным названием mypiltow.com и загрузили с него свой скимминг-скрипт на скомпрометированный веб-сайт, чтобы смешаться со всеми другими локальными скриптами, которые сайт уже загружал. Они даже потрудились получить сертификат SSL для своего мошеннического домена, чтобы избежать появления предупреждений о смешанном содержимом в браузерах пользователей.
Исходный код сканирования работал в течение короткого периода времени, прежде чем был обнаружен и удален. Однако злоумышленники сохранили свой злонамеренный доступ к сайту или получили доступ снова и вернулись в том же месяце с новой реализацией атаки. Они зарегистрировали доменное имя livechatinc.org, которое очень похоже на livechatinc.com, законную службу поддержки в чате, используемую продавцами на своих веб-сайтах, в том числе MyPillow.com.
«Злоумышленники сыграли блестящую игру, когда второй раз разместили скиммер на веб-сайте MyPillow, добавив новый тег сценария для LiveChat, который соответствует тегу сценария, обычно вставляемому сценариями LiveChat», - отмечают исследователи RiskIQ в своем новом отчете. «Злоумышленники Magecart пошли еще дальше, проксировав стандартный скрипт, возвращенный реальной службой LiveChat, и добавили код скиммера под ним».
Вторая атака длилась дольше и в конечном итоге была обнаружена и удалена с веб-сайта 19 ноября, согласно RiskIQ. По словам исследователей, с тех пор других обнаружений не было.
"Я могу подтвердить, что 5 октября была попытка взлома веб-сайта mypillow.com», - сказал Майк Линделл, генеральный директор MyPillow, в заявлении по электронной почте. "Это было немедленно обнаружено. MyPillow наняла третью сторону для расследования. Они не обнаружили никаких признаков того, что нарушение было эффективным или что какая-либо информация о клиентах была скомпрометирована. MyPillow сообщила о попытке взлома властям и повысила безопасность на нашем веб-сайте. Наши клиенты и их безопасность - мой приоритет номер один".
Веб-атаки с использованием карточного скимминга меняют методы
Во втором инциденте был задействован другой продавец под названием Amerisleep.com, чей веб-сайт был взломан в 2017 году, а затем снова в декабре 2018 года, согласно данным RiskIQ. По словам исследователей, нарушение безопасности продолжается, несмотря на то, что злоумышленники несколько раз меняли методы.
Во время атаки 2017 года, которая длилась примерно с апреля по октябрь, злоумышленники внедрили скимминговые скрипты через бэкдор PHP и несколько раз за этот период меняли свой клиентский домен для скриптов. Затем сайт был чист до декабря 2018 года, когда произошел новый компромисс, и хакеры MageCart решили разместить и загрузить свой скрипт скимминга прямо из репозитория GitHub, который они зарегистрировали на имя Amerisleep.
Позже, в январе, они снова изменили свои методы на пользовательские домены, но добавили условные проверки в скрипт скимминга, чтобы он запускался только на страницах оплаты. Amerisleep.com не сразу ответил на запрос о комментарии.
«С ростом эффективности групп по скиммингу кредитных карт время, необходимое большому количеству потребителей для кражи их данных, казалось бы, из ниоткуда, быстро сокращается», - говорят исследователи RiskIQ. «Magecart извлекла выгоду из того факта, что меры безопасности небольших компаний, предоставляющих услуги по улучшению веб-сайтов мировых брендов, гораздо менее развиты, чем меры безопасности самих глобальных брендов».
Консультации по снижению риска атак с использованием веб-скимминга карт
Интернет-продавцы должны инвестировать в продукты, которые могут обеспечить видимость несанкционированных изменений, внесенных на их веб-сайты, и, что более важно, они должны тщательно проверять все сторонние скрипты, которые они выбирают для загрузки на свои веб-сайты, будь то для рекламы, анализа посетителей или других целей. Злоумышленники, такие как MageCart, запутывают свои скрипты, чтобы обойти автоматическое обнаружение, но наличие запутанного кода на веб-сайте в первую очередь может служить красным флажком и быть причиной для дальнейшего расследования.
Некоторые технологии, такие как Subresource Integrity (SRI), которые поддерживаются современными браузерами, могут использоваться для снижения некоторых рисков от сторонних скриптов. Они позволяют веб-сайтам предоставлять браузерам посетителей криптографические хэши для сторонних ресурсов, которые они обслуживают, так что, если эти ресурсы будут изменены на стороне сервера, браузеры откажутся их загружать.
Кардеры используют все более изощренные методы для сокрытия вредоносного кода на веб-сайтах электронной коммерции с целью кражи данных платежных карт. Эти вредоносные скрипты, известные как веб-скиммеры, за последний год привели к серьезным нарушениям в онлайн-магазинах и, скорее всего, будут продолжать вызывать проблемы в течение некоторого времени.
Взлом веб-сайтов электронной коммерции и кража данных кредитных карт из баз данных насчитывает 15 и более лет. Однако по мере того, как безопасность как физических, так и онлайн-транзакций со временем повышалась, атаки переместились на точку входа, а не на хранимые записи.
За последний год специалисты по безопасности исследовали и отслеживали растущее число злоумышленников, которые специализируются на взломе веб-сайтов и внедрении вредоносных обфусцированных скриптов для кражи данных карты, когда пользователи вводят их на платежные страницы. Одна из самых плодовитых таких банд называется Magecart и на самом деле является зонтичной организацией с различными подгруппами.
Magecart - ведущая веб-угроза для снятия карт
Magecart несет ответственность за недавние взломы карт на веб-сайтах, принадлежащих таким известным компаниям, как British Airways, TicketMaster, Newegg, Feedify, Shopper Approved, а также на сайтах, принадлежащих многочисленным более мелким онлайн-торговцам. Его участники известны тем, что используют скрытые и умные методы, чтобы затруднить обнаружение своих инъекций, иногда даже ставя под угрозу различных сторонних поставщиков услуг, у которых уже есть свой законный код, загруженный на веб-сайты.
Исследователи из компании по безопасности RiskIQ недавно проанализировали две атаки, приписываемые Magecart, которые были обнаружены в историческом наборе данных компании, полученном со сканированных веб-сайтов. Обе эти атаки подчеркивают, как злоумышленники приспосабливаются к защите и соответственно меняют свою тактику.
Одним из них был взлом веб-сайта, который, согласно данным RiskIQ, произошел в октябре 2018 года и затронул MyPillow.com, американского продавца постельных принадлежностей. Сначала злоумышленники зарегистрировали домен с аналогичным названием mypiltow.com и загрузили с него свой скимминг-скрипт на скомпрометированный веб-сайт, чтобы смешаться со всеми другими локальными скриптами, которые сайт уже загружал. Они даже потрудились получить сертификат SSL для своего мошеннического домена, чтобы избежать появления предупреждений о смешанном содержимом в браузерах пользователей.
Исходный код сканирования работал в течение короткого периода времени, прежде чем был обнаружен и удален. Однако злоумышленники сохранили свой злонамеренный доступ к сайту или получили доступ снова и вернулись в том же месяце с новой реализацией атаки. Они зарегистрировали доменное имя livechatinc.org, которое очень похоже на livechatinc.com, законную службу поддержки в чате, используемую продавцами на своих веб-сайтах, в том числе MyPillow.com.
«Злоумышленники сыграли блестящую игру, когда второй раз разместили скиммер на веб-сайте MyPillow, добавив новый тег сценария для LiveChat, который соответствует тегу сценария, обычно вставляемому сценариями LiveChat», - отмечают исследователи RiskIQ в своем новом отчете. «Злоумышленники Magecart пошли еще дальше, проксировав стандартный скрипт, возвращенный реальной службой LiveChat, и добавили код скиммера под ним».
Вторая атака длилась дольше и в конечном итоге была обнаружена и удалена с веб-сайта 19 ноября, согласно RiskIQ. По словам исследователей, с тех пор других обнаружений не было.
"Я могу подтвердить, что 5 октября была попытка взлома веб-сайта mypillow.com», - сказал Майк Линделл, генеральный директор MyPillow, в заявлении по электронной почте. "Это было немедленно обнаружено. MyPillow наняла третью сторону для расследования. Они не обнаружили никаких признаков того, что нарушение было эффективным или что какая-либо информация о клиентах была скомпрометирована. MyPillow сообщила о попытке взлома властям и повысила безопасность на нашем веб-сайте. Наши клиенты и их безопасность - мой приоритет номер один".
Веб-атаки с использованием карточного скимминга меняют методы
Во втором инциденте был задействован другой продавец под названием Amerisleep.com, чей веб-сайт был взломан в 2017 году, а затем снова в декабре 2018 года, согласно данным RiskIQ. По словам исследователей, нарушение безопасности продолжается, несмотря на то, что злоумышленники несколько раз меняли методы.
Во время атаки 2017 года, которая длилась примерно с апреля по октябрь, злоумышленники внедрили скимминговые скрипты через бэкдор PHP и несколько раз за этот период меняли свой клиентский домен для скриптов. Затем сайт был чист до декабря 2018 года, когда произошел новый компромисс, и хакеры MageCart решили разместить и загрузить свой скрипт скимминга прямо из репозитория GitHub, который они зарегистрировали на имя Amerisleep.
Позже, в январе, они снова изменили свои методы на пользовательские домены, но добавили условные проверки в скрипт скимминга, чтобы он запускался только на страницах оплаты. Amerisleep.com не сразу ответил на запрос о комментарии.
«С ростом эффективности групп по скиммингу кредитных карт время, необходимое большому количеству потребителей для кражи их данных, казалось бы, из ниоткуда, быстро сокращается», - говорят исследователи RiskIQ. «Magecart извлекла выгоду из того факта, что меры безопасности небольших компаний, предоставляющих услуги по улучшению веб-сайтов мировых брендов, гораздо менее развиты, чем меры безопасности самих глобальных брендов».
Консультации по снижению риска атак с использованием веб-скимминга карт
Интернет-продавцы должны инвестировать в продукты, которые могут обеспечить видимость несанкционированных изменений, внесенных на их веб-сайты, и, что более важно, они должны тщательно проверять все сторонние скрипты, которые они выбирают для загрузки на свои веб-сайты, будь то для рекламы, анализа посетителей или других целей. Злоумышленники, такие как MageCart, запутывают свои скрипты, чтобы обойти автоматическое обнаружение, но наличие запутанного кода на веб-сайте в первую очередь может служить красным флажком и быть причиной для дальнейшего расследования.
Некоторые технологии, такие как Subresource Integrity (SRI), которые поддерживаются современными браузерами, могут использоваться для снижения некоторых рисков от сторонних скриптов. Они позволяют веб-сайтам предоставлять браузерам посетителей криптографические хэши для сторонних ресурсов, которые они обслуживают, так что, если эти ресурсы будут изменены на стороне сервера, браузеры откажутся их загружать.
