Japon elektronik üreticisi Casio, İngiltere web sitesine alıcıların kişisel ve ödeme kartı bilgilerini toplayan bir web skimmer enjekte etti.
Şirket, aynı skimmerin en az on yedi (ve muhtemelen daha fazla) web sitesine eklendiğini, ancak isimleri açıklamaktan kaçındığını söylüyor.
“Bütün kurbanlar Rusya’daki aynı barındırma sağlayıcısından bir skimmer senaryosu yüklüyorlardı. Yoklama alanlarının mağdurlar arasında farklılık gösterebilmesine rağmen, sıyırıcı kodunun kendisi (jenerik kısım), çeşitli durumlarda oldukça benzer olduğu ve aynı web sıyırma üretimi aracı tarafından oluşturulabileceğini düşündürdüğü gözlemlendi. Etkinliğin henüz sonuçlanamayan tek bir web sıyırma tehdidi oyuncusundan geldiği anlamına geliyor. ”Araştırmacı Pedro Fortuna.
Uzlaşma
JScrambler, Magento Webstores’e kurulan savunmasız bileşenlerden yararlanarak sitelerin tehlikeye atıldığına inanıyor.
“Tipik olarak, Skimmers, kullanıcıların kişisel ve ödeme verilerine girdikleri mağdur web sitelerinin ödeme bölümüyle aktivitelerini bilerek sınırlar. Ancak, bu saldırı, sıyırıcı “/ödeme” sayfası hariç tüm sayfalarda aktif olduğu için bu modelden saptı.
“Bu garip davranışın nedeni, olağan ödeme akışında bir değişiklik ile ilgilidir. Tehdit oyuncusu, kullanıcıların önce arabalarına öğe eklemelerini ve ardından kontrol etmek ve ödemek için ‘/checkut/sepet’ sepeti sayfasına gitmesini bekler. Sepet sayfasında, skimmer daha sonra ‘ödeme’ düğmesini tıklar ve kullanıcının /ödeme sayfasına götürülmesi yerine, kişisel bilgilerini isteyen bir model penceresi kullanılarak sahte bir ödeme formu ile sunulur. ”
Kurbanlar kişisel, kondenct ve ödeme bilgilerine girip gönderdikten sonra, Skimmer onu şifreledi ve dolandırıcılara gönderdi. Kurbanlara sahte bir hata mesajı gösterildi ve bu da işlemi sitenin gerçek ödeme sayfasında tekrarlamaya çağırdı.
Skimmer tarafından gösterilen sahte hata mesajı (kaynak: jscrambler)
“Kullanıcı arayüzü, özellikle görüntülenen hata ve kullanıcıdan ödeme ayrıntılarını iki kez girmesi istenmesi, çoğu insanın bir şeyin yanlış olabileceğinden şüphelenmesi için gerçekten iyi bir gösterge olmalıdır. Bununla birlikte, tehdit aktörlerinin bunu görünüşte özensiz bir şekilde yapmaya devam etmesi, çoğu son kullanıcının saldırıya uğradıklarını ve bu nedenle alarmı çalmadığını söyleyemediklerinin iyi bir göstergesidir ”dedi.
JScrambler’e göre, Web Skimmer 14 ve 24 Ocak ayları arasında Casio UK sitesinde aktif hale geldi ve 28 Ocak’ta tespit ettiler. Casio UK, 24 saatten daha kısa bir süre sonra skimmer’ı kaldırdı.
Sitenin bir içerik güvenliği politikası (CSP) var olmasına rağmen, herhangi bir ihlali bildirmek üzere yapılandırılmamış ve bu nedenle saldırıyı önlememişlerdir.