E-Skimmer’lar ve Dolandırıcı E-Ticaret Siteleri Hala Etkileniyor


Kart Mevcut Değil Dolandırıcılık, Dolandırıcılık Yönetimi ve Siber Suçlar

Araştırmacılar, Suçluların 2024’te Satılık 269 Milyon Çalınan Ödeme Kartını Listelediğini Buldu

Mathew J. Schwartz (euroinfosec) •
22 Ocak 2025

Dolandırıcılık İzlemesi: E-Skimmer'lar ve Dolandırıcı E-Ticaret Siteleri Hala Etkileniyor
Resim: Shutterstock

Bu eski bir hikaye: Suçlular, dijital “e-kaydırma” yazılımını kullanarak, dolandırıcı e-ticaret siteleri çalıştırarak ve çalıntı ödeme kartı verilerini satarak ciddi kâr elde ediyor.

Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu

Ne yazık ki, araç setlerini güncel ve her zamankinden daha kazançlı tutmayı başaran siber suçluların uyarlanabilirliği sayesinde sürekli yenileniyor.

Tehdit istihbaratı şirketi Recorded Future, 2024’te “çalıntı kart verilerinde bir artış yaşandığını ve karanlık ve açık web platformlarında 269 milyon kayıt yayınlandığını” bildirdi; bu sayı, 2023’e göre 70 milyonluk bir artışa tekabül ediyor.

Araştırmacılar ayrıca geçen yıl aşağıdaki alanlarda da dikkate değer artışlar izledi:

Birden fazla grup Magecart tarzı taktikleri, teknikleri ve prosedürleri kullanır.

Recorded Future, “ADSWG” olarak takip ettiği böyle bir grubun, kamuya açık iki web hizmetinin (Google Tag Manager ve Amazon CloudFront) kötüye kullanılmasına ve çevrimiçi mücevher perakendecileri tarafından işletilen 67 e-ticaret sitesinin hedeflenmesine bağlandığını söyledi. ortak platform.

2024’ün sonlarında gerçekleşen bir Magecart saldırısı, kötü amaçlı e-skimmer yazılımının bir içerik dağıtım ağında barındırılan ve yüzlerce farklı restoran tarafından kullanılan bir platforma enjekte edilmesini içeriyordu. “Finansal ortaklarla işbirliği içinde yapılan işlem analizi, platformu kullanan yaklaşık 50 satıcıyı karanlık ağdaki satılık kart kayıtlarıyla ilişkilendirdi” ancak platformu kullanan yüzlerce farklı restoran nedeniyle ihlal mağdurlarının sayısı daha yüksek olabilir. .

Magecart CosmicSting’i Arıyor

Geçtiğimiz yıl, dünyanın en yaygın kullanılan e-ticaret platformu yazılımı Magento’nun yanı sıra kurumsal sürümü Adobe Commerce’de de birçok dijital skimmer olayı yaşandı.

Özellikle birçok saldırı Adobe Commerce, Magento Açık Kaynak ve Adobe Commerce Webhooks Eklentisindeki “CosmicSting” güvenlik açığını hedef aldı. CVE-2024-34102 olarak takip edilen güvenlik açığı ilk olarak bir araştırmacı tarafından keşfedildi ve Ocak 2024’te HackerOne aracılığıyla Adobe’ye bildirildi. Adobe, Haziran ayında kusuru herkese açık olarak ayrıntılı bir şekilde açıkladı ve yamalar yayınladı.

Siber güvenlik araştırma topluluğu vsociety tarafından “ciddi bir kimlik doğrulama öncesi XML varlık enjeksiyon güvenlik açığı” olarak tanımlanan kusur, CVSS puanı olarak 9,8 olarak değerlendirildi; bu, kullanıcı etkileşimi olmadan uzaktan yararlanılabileceğini yansıtıyor.

Adobe, güvenlik uyarısında “Başarılı bir şekilde yararlanma, keyfi kod yürütülmesine, güvenlik özelliklerinin atlanmasına ve ayrıcalıkların yükseltilmesine yol açabilir” dedi.

Kullanıcıların yama yapması gecikti. Ekim 2024’ün başlarında, tüccarların çevrimiçi mağazalarının güvenliğinin sağlanmasına yardımcı olan bir Amsterdam firması olan Sansec, aralarında Cisco ve National Geographic mağazalarının da bulunduğu 4.387 çevrimiçi satıcının güvenlik açığını hedef alan saldırganlar tarafından ele geçirildiğini bildirdi (bkz.: Toplu Perakende Saldırıları Adobe Commerce ve Magento Mağazalarını Etkiliyor).

Saldırılar devam etti; aynı ayın sonlarında “Grup Laski” olarak takip edilen bir tehdit aktörü 1.200 mağazaya daha saldırdı ve “Grup Peschanki” yalnızca birkaç saat içinde 2.000 e-ticaret mağazasını ihlal eden otomatik saldırılar gerçekleştirdi. Geçen yıl Kasım ayının ortasında başka bir saldırı dalgası 3.000 mağazayı vurdu.

Magecart tarzı saldırganlar da yenilik yapmaya devam etti. Sansec yakın tarihli bir raporunda, bilgisayar korsanlarının “kötü amaçlı JavaScript dosyalarını yürütmek için Google Translate’in sayfa işlevselliğini kullanmaya” başladığını ve diğer Google hizmetlerini JSONP (doldurmalı JavaScript nesne gösterimi) üretmek için “güvenlik önlemlerinden kaçmak için” tasarlanmış geri aramalar üretmeye başladığını söyledi.

Geçtiğimiz Ekim ayında böyle bir JSONP geri arama saldırısında, Green Bay, Wisconsin futbol takımı Green Bay Packers tarafından işletilen resmi mağazanın gizliliğini tehlikeye atmak için YouTube’un yerleştirme özelliğinin kötüye kullanılması yer alıyordu.

Başka bir JSONP geri çağırma kampanyasının izini süren saldırganların Google Discovery API’yi kötüye kullanarak en az 12 çevrimiçi mağazaya sahte bir Stripe ödeme formu yüklemesi ve form sporu anahtar kelimelerinin, bunun Sansec’in Group Polyovki olarak takip ettiği “tanınmış Magecart tehdit aktörü” ile bağlantılı olduğunu öne sürmesi izlendi. Aynı grubun, birkaç hafta sonra yaklaşık 100 çevrimiçi mağazaya yönelik, sahte ödeme konumu belirlemek için Google Hesapları OAuth2 API’sinin kötüye kullanıldığı başka bir saldırının arkasında olduğu ortaya çıktı.





Source link