Kart Mevcut Değil Dolandırıcılık, Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacılar, Suçluların 2024’te Satılık 269 Milyon Çalınan Ödeme Kartını Listelediğini Buldu
Mathew J. Schwartz (euroinfosec) •
22 Ocak 2025
Bu eski bir hikaye: Suçlular, dijital “e-kaydırma” yazılımını kullanarak, dolandırıcı e-ticaret siteleri çalıştırarak ve çalıntı ödeme kartı verilerini satarak ciddi kâr elde ediyor.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
Ne yazık ki, araç setlerini güncel ve her zamankinden daha kazançlı tutmayı başaran siber suçluların uyarlanabilirliği sayesinde sürekli yenileniyor.
Tehdit istihbaratı şirketi Recorded Future, 2024’te “çalıntı kart verilerinde bir artış yaşandığını ve karanlık ve açık web platformlarında 269 milyon kayıt yayınlandığını” bildirdi; bu sayı, 2023’e göre 70 milyonluk bir artışa tekabül ediyor.
Araştırmacılar ayrıca geçen yıl aşağıdaki alanlarda da dikkate değer artışlar izledi:
- E-skimmer enfeksiyonları: Taktiğe öncülük eden grubun anısına Magecart saldırısı olarak bilinen bu saldırı, genellikle meşru e-ticaret yazılımına enjekte edilen ve saldırgan tarafından kullanılmak veya yeniden satılmak üzere ödeme kartı verilerini çalmak için kullanılan kötü amaçlı kodları içerir. Araştırmacılar, geçen yıl 11.000 e-ticaret sitesinin bu tür yazılımların kurbanı olduğunu, bu sayının 2023’e göre üç kat arttığını söyledi.
- Yeni araçlar: Magecart enfeksiyonlarının çoğu, “Sniffer by Fleras” adlı araç da dahil olmak üzere yeni e-skimming araçlarına dayanıyor. Bu tür araçlar bilinen güvenlik açıklarını hızla hedef alır.
- Dolandırıcılık siteleri: Araştırmacılar geçen yıl, büyük ölçüde Birleşik Krallık veya Hong Kong’da kayıtlı dolandırıcı tüccar hesaplarından oluşan ağlarla bağlantılı yaklaşık 1.200 dolandırıcılık alan adı saydılar.
- Moda hitleri: Çalınan kart verilerinin çoğu, son yıllarda olduğu gibi, ABD restoranlarından (muhtemelen bir müşterinin kartını alıp merkezi bir satış noktası sisteminde gözden uzak bir yerde işlemek için cep telefonu kullanan garsonlardan) kaynaklanıyor gibi görünse de araştırmacılar, kayda değer bir artış gördü. Birçoğu indirimli kıyafet sattığını iddia eden dolandırıcılık sitelerini içeren çevrimiçi moda mağazalarına ilişkin veri takibinde.
- Siber suç forum listeleri: Dark web pazarları, dolandırıcıların çalıntı kart verilerini, araçları ve hizmetleri koruma altına alması için uygun kanallar olmaya devam ediyor; Telegram gibi, ancak daha az deneyimli saldırganlar tarafından tercih ediliyor gibi görünüyor.
Birden fazla grup Magecart tarzı taktikleri, teknikleri ve prosedürleri kullanır.
Recorded Future, “ADSWG” olarak takip ettiği böyle bir grubun, kamuya açık iki web hizmetinin (Google Tag Manager ve Amazon CloudFront) kötüye kullanılmasına ve çevrimiçi mücevher perakendecileri tarafından işletilen 67 e-ticaret sitesinin hedeflenmesine bağlandığını söyledi. ortak platform.
2024’ün sonlarında gerçekleşen bir Magecart saldırısı, kötü amaçlı e-skimmer yazılımının bir içerik dağıtım ağında barındırılan ve yüzlerce farklı restoran tarafından kullanılan bir platforma enjekte edilmesini içeriyordu. “Finansal ortaklarla işbirliği içinde yapılan işlem analizi, platformu kullanan yaklaşık 50 satıcıyı karanlık ağdaki satılık kart kayıtlarıyla ilişkilendirdi” ancak platformu kullanan yüzlerce farklı restoran nedeniyle ihlal mağdurlarının sayısı daha yüksek olabilir. .
Magecart CosmicSting’i Arıyor
Geçtiğimiz yıl, dünyanın en yaygın kullanılan e-ticaret platformu yazılımı Magento’nun yanı sıra kurumsal sürümü Adobe Commerce’de de birçok dijital skimmer olayı yaşandı.
Özellikle birçok saldırı Adobe Commerce, Magento Açık Kaynak ve Adobe Commerce Webhooks Eklentisindeki “CosmicSting” güvenlik açığını hedef aldı. CVE-2024-34102 olarak takip edilen güvenlik açığı ilk olarak bir araştırmacı tarafından keşfedildi ve Ocak 2024’te HackerOne aracılığıyla Adobe’ye bildirildi. Adobe, Haziran ayında kusuru herkese açık olarak ayrıntılı bir şekilde açıkladı ve yamalar yayınladı.
Siber güvenlik araştırma topluluğu vsociety tarafından “ciddi bir kimlik doğrulama öncesi XML varlık enjeksiyon güvenlik açığı” olarak tanımlanan kusur, CVSS puanı olarak 9,8 olarak değerlendirildi; bu, kullanıcı etkileşimi olmadan uzaktan yararlanılabileceğini yansıtıyor.
Adobe, güvenlik uyarısında “Başarılı bir şekilde yararlanma, keyfi kod yürütülmesine, güvenlik özelliklerinin atlanmasına ve ayrıcalıkların yükseltilmesine yol açabilir” dedi.
Kullanıcıların yama yapması gecikti. Ekim 2024’ün başlarında, tüccarların çevrimiçi mağazalarının güvenliğinin sağlanmasına yardımcı olan bir Amsterdam firması olan Sansec, aralarında Cisco ve National Geographic mağazalarının da bulunduğu 4.387 çevrimiçi satıcının güvenlik açığını hedef alan saldırganlar tarafından ele geçirildiğini bildirdi (bkz.: Toplu Perakende Saldırıları Adobe Commerce ve Magento Mağazalarını Etkiliyor).
Saldırılar devam etti; aynı ayın sonlarında “Grup Laski” olarak takip edilen bir tehdit aktörü 1.200 mağazaya daha saldırdı ve “Grup Peschanki” yalnızca birkaç saat içinde 2.000 e-ticaret mağazasını ihlal eden otomatik saldırılar gerçekleştirdi. Geçen yıl Kasım ayının ortasında başka bir saldırı dalgası 3.000 mağazayı vurdu.
Magecart tarzı saldırganlar da yenilik yapmaya devam etti. Sansec yakın tarihli bir raporunda, bilgisayar korsanlarının “kötü amaçlı JavaScript dosyalarını yürütmek için Google Translate’in sayfa işlevselliğini kullanmaya” başladığını ve diğer Google hizmetlerini JSONP (doldurmalı JavaScript nesne gösterimi) üretmek için “güvenlik önlemlerinden kaçmak için” tasarlanmış geri aramalar üretmeye başladığını söyledi.
Geçtiğimiz Ekim ayında böyle bir JSONP geri arama saldırısında, Green Bay, Wisconsin futbol takımı Green Bay Packers tarafından işletilen resmi mağazanın gizliliğini tehlikeye atmak için YouTube’un yerleştirme özelliğinin kötüye kullanılması yer alıyordu.
Başka bir JSONP geri çağırma kampanyasının izini süren saldırganların Google Discovery API’yi kötüye kullanarak en az 12 çevrimiçi mağazaya sahte bir Stripe ödeme formu yüklemesi ve form sporu anahtar kelimelerinin, bunun Sansec’in Group Polyovki olarak takip ettiği “tanınmış Magecart tehdit aktörü” ile bağlantılı olduğunu öne sürmesi izlendi. Aynı grubun, birkaç hafta sonra yaklaşık 100 çevrimiçi mağazaya yönelik, sahte ödeme konumu belirlemek için Google Hesapları OAuth2 API’sinin kötüye kullanıldığı başka bir saldırının arkasında olduğu ortaya çıktı.