Dolandırıcılar, çevrimiçi alışveriş yapanların kimlik bilgilerini almak için magecart saldırıları aracılığıyla alışveriş ağ geçidinden yararlanır.
Malwarebytes Labs bir blogda, siber suçluların çevrimiçi alışveriş yapanlara yönelik magecart saldırıları yoluyla bireylerin konut adreslerini çalarak e-ticaret endüstrisini nasıl hedef aldıklarını vurguladı.
Araştırmacılar, kart ve ödeme verilerini çalmanın yanı sıra çeşitli coğrafi konumlara erişimin arttığını da tespit etti.
Çevrimiçi alışveriş yapanlara yapılan magecart saldırıları neleri içerir?
Magecart, kişisel verileri çalmak için gözden geçirme teknikleri kullanan bilgisayar korsanı gruplarını ifade eder. Ödeme formlarına girilen tüm ayrıntılar, dijital skimmers kullanılarak kazınır.
Bu durumda, alışveriş yapan kişinin IP adresini ve tarayıcı kullanıcı aracısını almak üzere sonuçları ayrıştırmak için yasal bir Cloudflare uç nokta API’sinden yararlanıldığı tespit edildi.
Magecart saldırılarında bulunan parmak izi çabası
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, Gecko gibi) Chrome/110.0.0.0 Safari/537.36. Bloga göre, örnek aracılığıyla bir bilgisayar korsanı aşağıdakileri belirleyebilir:
- Sistem Windows 10 çalıştırıyor
- 64 bit sürümü ile
- Ve tarayıcı Chrome
- Chrome sürüm 110
Parmak izi, belirli siber saldırıları başlatmak için işletim sistemi bilgilerinin anlaşılır bir şekilde harmanlanmasını içerir.
İç çerçevelerin kullanımının da ödeme bilgilerini hedeflediği bulundu. Ancak, tarayıcının yerel deposunda çerezler gibi çalışan ve geri dönen sayfa ziyaretçilerini algılayan bir yazı tipi öğesi olmasaydı çalışmazdı.
TechTarget teknik yazarı Gavin Wright, “Satır içi çerçeve (iframe), belge içinde başka bir HTML sayfası yükleyen bir HTML öğesidir. Esasen ana sayfanın içine başka bir web sayfası yerleştiriyor.”
İç çerçeveler, videoları, web analitiği reklamlarını vb. gömmek için alt çerçeveleri başlatmak için kullanılır. Çevrimiçi alışveriş yapanlara yönelik magecart saldırısındaki iç çerçeveler, bilgisayar korsanları tarafından, kullanıcılar tarafından yapılan tıklamaları kopyalamak, sayfa bilgilerini çalmak, ve potansiyel olarak kötü amaçlı yazılım yükleyin.
Yukarıdaki görüntü, magecart saldırısının alışveriş yapanların VISA kartı bilgilerini çalmak için meşru sayfalarla nasıl kamufle edildiğini göstermektedir.
Aşağıdaki şekil, kullanıcı aracısı (UA) dizesiyle birlikte çevrimiçi alışveriş yapanlara yapılan magecart saldırısında erişilen IP adresini göstermektedir. HTTP’deki UA dizeleri, son kullanıcı etkileşimini koordine etmede çalışır. Bu durumda, alışveriş yapanın bankacılık verilerini göndermedeki etkileşimi.
Araştırmacılar, kimlik bilgileri ele geçirildikten sonra yeni bir kart almanın, yetkisiz erişime yol açan hassas kişisel veriler zaten siber suçlular tarafından çalındığından, çok az veya hiç amaca hizmet etmeyebileceğini savundu.
Ayrıca, alışveriş yapanlara yapılan magecart saldırısındaki diğer tüm verilerin, gerçek alışveriş yapanları botlardan ve güvenlik araştırmacılarından filtrelemek istemesinden sonra IP adreslerinin toplandığını da buldular.