Geliştirme ile ilgili bir geliştirmede, siber suçlular, kredi kartı bilgilerini çalmak için tasarlanmış kötü amaçlı komut dosyalarını dağıtmak için e -ticaret web siteleri tarafından yaygın olarak kullanılan meşru bir araç olan Google Tag Manager’dan (GTM) yararlanıyor.
Genellikle Magecart veya E-simming olarak adlandırılan bu saldırı vektörü, diğerlerinin yanı sıra Magento, WordPress ve OpenCart gibi platformları hedefleyen platformları gözlemledi.
GTM kapsayıcılarının kötüye kullanılması, bilgisayar korsanlarının kötü niyetli JavaScript’i güvenilir web sitesi öğelerine yerleştirerek geleneksel güvenlik önlemlerini atlamasına olanak tanır.
Saldırı nasıl çalışır
Google Tag Manager, web sitesi yöneticilerinin doğrudan sitenin kodunu değiştirmeden pazarlama etiketlerini yönetmesini ve dağıtmasını sağlayan bir etiket yönetim sistemidir.
Ancak, esnekliği ve güvenilir alanlarla entegrasyonu googletagmanager.com sömürü için çekici bir hedef haline getirin.
Tehdit aktörleri, özel HTML etiketleri veya kredi kartı sıyırıcısı olarak işlev gören JavaScript yükleri içeren GTM kapsayıcıları oluşturur.
Bu komut dosyaları, müşteriler tarafından girilen hassas ödeme ayrıntılarını yakaladıkları ve bunları saldırganlar tarafından kontrol edilen uzak sunuculara ilettikleri, tehlikeye atılmış e -ticaret sitelerinin ödeme sayfalarına enjekte edilir.
Son araştırmalar, bazı saldırganların faaliyetlerini gizlemek için Base64 kodlama ve dinamik komut dosyası yükleme gibi gelişmiş gizleme tekniklerini kullandıklarını ortaya koydu.
Bazı durumlarda, Skimmer kodu meşru GTM veya Google Analytics komut dosyalarını taklit ederek algılamayı web sitesi yöneticileri için daha da zorlaştırır.
E -ticaret siteleri üzerindeki etki
Sucuri raporları, yüzlerce e -ticaret alanının küresel olarak tehlikeye atıldığını, 165.000’den fazla ödeme kartı kaydı açık ve karanlık web pazarlarında satıldığını gösteriyor.
Mağdur alanları, bu saldırıların gizli doğası nedeniyle aylarca ihlalin farkında değil.
Etkilenen işletmelerin sonuçları arasında finansal kayıplar, itibar hasarı ve müşteri güveni kaybı bulunmaktadır.
Örneğin, Magento tabanlı bir e-ticaret sitesini içeren yeni bir vaka, GTM sömürüsü yoluyla sitenin veritabanına gömülü kötü amaçlı yazılımları ortaya çıkardı.
Kötü amaçlı komut dosyası ödeme sırasında kredi kartı verilerini ortadan kaldırır ve harici bir sunucuya gönderir.
WooCommerce ve Shopify gibi diğer platformlarda da benzer olaylar bildirilmiştir.
Bu büyüyen tehditle mücadele etmek için, siber güvenlik uzmanları çeşitli önlemler önerir:
- GTM kapsayıcılarını denetleyin: Şüpheli veya yetkisiz komut dosyaları için GTM kapsayıcılarındaki tüm etiketleri düzenli olarak inceleyin.
- Güvenlik yamaları uygulayın: Tüm CMS platformlarının ve eklentilerinin en son güvenlik güncellemeleriyle güncel olduğundan emin olun.
- Web sitesi trafiğini izleyin: Olağandışı aktiviteyi veya yetkisiz veri sızıntısını tespit etmek için araçlar kullanın.
- Web Uygulaması Güvenlik Duvarlarını Uygula (WAFS): Kötü amaçlı komut dosyalarını ve yetkisiz erişimi engellemek için WAF’leri dağıtın.
- Yöneticileri eğitin: Web sitesi yöneticilerini uzlaşma belirtilerini tanımak ve güçlü güvenlik hijyenini korumak için eğitin.
Google Tag Manager’ın kötüye kullanılması, e -ticaret platformlarını hedefleyen siber saldırıların gelişen karmaşıklığını vurgular.
GTM gibi güvenilir araçlardan yararlanarak, bilgisayar korsanları web sitelerine tespit edilmemiş ve hassas finansal verileri hasat edebilir.
İşletmelerin, müşterilerinin bilgilerini korumak ve çevrimiçi işlemlere güvenmek için proaktif güvenlik önlemleri benimsemeleri zorunludur.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free