Magecart tehdit aktörleri, bir yandan sahte müşterilerden veri toplarken bir yandan da e-ticaret sitelerinin peşine düşmeye devam ediyor.
Suç pazarlarında veri hırsızlığının önemli bir yönü, yeniden satılan verilerin gerçekliği etrafında döner. Alıcıların güvenle satın alabilmeleri için kredi kartı numaraları gibi şeyleri incelemek için var olan farklı hizmetler vardır.
Suçlular ayrıca herkesin ve özellikle güvenlik araştırmacılarının operasyonlarına müdahale etmek isteyebileceğinin farkındadır. Kimlik avı sayfalarını gereksiz verilerle doldurmak başlı başına bir spordur, ancak bazen ters tepebilir. Takip amaçlı özel kartların kullanılması defans oyuncuları tarafından parayı takip etmek için de kullanılabilir.
Kısa bir süre önce, kurbanın e-posta, adres, telefon numarası ve kredi kartı verilerine ek olarak mevcut kurbanın IP adresini ve tarayıcı kullanıcı aracısını toplayan bir Magecart skimmer tespit ettik. Kurban zaten ev adresini girdiği için, bunun geleneksel kötü amaçlı yazılım kampanyalarında yapılanlara çok benzeyen bir parmak izi alma çalışması olduğuna inanıyoruz.
Skimmer çeşitli coğrafi konumları hedefler
Skimmer, geçerli sayfa ödeme sayfasıysa ve tarayıcının yerel deposu bir yazı tipi öğesi içermiyorsa yüklenen iframe’leri kullanır (bu, geri dönen ziyaretçileri algılamak için tanımlama bilgilerini kullanmaya eşdeğerdir).
Şekil 1: Skimmer adres çubuğunu kontrol ediyor ve iframe ekliyor
Nihai oluşturma, resmi ödeme platformlarıyla aynıdır ve hiçbir şey vermez:
Şekil 2: Skimmer tarafından enjekte edilen sahte ödeme formları
Cloudflare API aracılığıyla parmak izi alma
Altta yatan kod, müşterinin iletişim ve ödeme formlarındaki her şeyi sıyıracaktır. Bu, dijital deniz süpürücülerden bahsederken genellikle göz ardı edilen ancak yine de son derece önemli olan bir şeydir. Finans kurumları size postayla yeni bir kart verebilirken, suçluların topladığı bilgiler bir veri ihlaline eşdeğerdir ve daha sonra diğer dolandırıcılık türleri için yeniden kullanılabilir.
Şekil 3: Skimmer veri toplama ve parmak izi alma
Biraz alışılmadık olduğunu fark ettiğimiz bir şey, yasal Cloudflare uç nokta API’sini sorgulayan ve sonuçları özellikle iki şey için ayrıştıran koddur: kullanıcının mevcut IP adresi ve tarayıcının kullanıcı aracısı. Bir kullanıcı aracısı dizesi şuna benzer:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, Gecko gibi) Chrome/110.0.0.0 Safari/537.36
Buradan, kullanıcının Chrome sürüm 110 ile Windows 10 (64 bit sürüm) çalıştırdığını belirleyebilirsiniz.
Şekil 4: IP adresi ve kullanıcı aracısı dizesi dahil olmak üzere çalınan veriler
yapıldığını belirtmekte fayda var. sonrasında kredi kartı verileri zaten toplanmıştır ve daha önce toplanmamıştır. Belirli bir kurbanın hedef profile uyup uymadığını belirlemek veya içeriği bir mobil veya masaüstü deneyimine uyarlamak için bir web sayfasını ziyaret ettikten sonra user-agent dizesini kontrol etmek oldukça yaygındır.
Skimmer, alışveriş yapan kişinin şehrini, posta kodunu ve ülkesini zaten aldığından, IP adresinin bunun ötesinde pek bir faydası olmayacaktır. Tehdit aktörlerinin, kalite kontrolleri ve botlar ve güvenlik araştırmacıları gibi geçersiz kullanıcıları izlemek için büyük olasılıkla IP adreslerini ve kullanıcı aracısı dizelerini topladığına inanıyoruz.
Çözüm
Magento ve WordPress/WooCommerce gibi e-ticaret platformlarını hedefleyen çok sayıda kredi kartı korsanı gözlemliyoruz. Çevrimiçi tüccarların bu tehdidin farkında olması ve yalnızca uyumlu olmak için değil, aynı zamanda taviz verilmesini daha en baştan çok daha zorlaştırmak için uygun önlemleri alması gerekir. Bu gönderide Cloudflare’den bahsettiğimiz için, şirketin işletmelere kötü amaçlı üçüncü taraf kitaplıkları aracılığıyla ziyaretçileri güvende tutmaya yardımcı olan Page Shield adlı bir hizmet sağladığını belirtmekte fayda var.
Tüketicilere ve işletmelere yönelik Malwarebytes’imizin yanı sıra Browser Guard uzantımız aracılığıyla kullanıcılarımızı korumak için bilgi kaçırma altyapısını izlemeye ve raporlamaya devam ediyoruz.
Uzlaşma Göstergeleri
gtag-analitiği[.]iletişim
gtag-analitiği[.]com/analytics/15798/script.js?key=
gtag-analitiği[.]com/analytics/18452/script.js?key=
gtag-analitiği[.]com/analytics/25198/script.js?key=
gtag-analitiği[.]com/analytics/31826/script.js?key=
gtag-analitiği[.]com/analytics/32444/script.js?key=
gtag-analitiği[.]com/analytics/34515/script.js?key=
gtag-analitiği[.]com/analytics/65526/script.js?key=
gözlük etiketleri[.]tıklamak