Kredi kartı dinleyicileri veya çevrimiçi bilgi hırsızları, siber suçluların genellikle JavaScript programlama dilini kullanarak oluşturdukları bir tür zararlı yazılımdır.
Tehdit aktörleri bunu öncelikli olarak saldırıya uğramış e-ticaret veya ticari sitelerde işlem yaparken şüphelenmeyen kişilerden ödeme kartı verilerini ve PII’yi çalmak için kullanır.
Son zamanlarda, Cybel’deki siber güvenlik analisti, E-ticaret tüketicileri için gelişen bir tehdit olarak tanımlanan R3NIN algılayıcısını keşfetti.
Sniffer’ın Çalışma Sırası
Bir web sitesinin saldırıya uğraması durumunda, saldırganlar, web sunucusuna, bir hedef kullanıcı bozuk web sayfasına eriştiğinde etkinleşecek şekilde tasarlanmış, kodlanmış, kötü amaçlı bir komut dosyası yerleştirebilir.
Yürütme üzerine, yukarıda belirtilen komut dosyası, kurbandan girdi değişkenlerini toplama ve ardından bunları bir diziye dönüştürme görevini yerine getirir. Derlenen bu dize daha sonra, daha fazla analiz ve istismar için saldırgan tarafından sağlanan bir algılayıcı paneline gönderilir.
Saldırgan ayrıca, hedef kullanıcıya orijinal bir web sayfasında genellikle gerekli olmayan ek veriler isteyen sahte bir açılır pencere sunarak, stratejilerinin bir parçası olarak iFrame’den yararlanabilir.
Bu hile, kurbanı daha sonra saldırgan tarafından toplanan ve istismar edilen daha hassas bilgileri ifşa etmesi için kandırmak için kullanılır. Kurbanın bilgileri, güvenliği ihlal edilmiş bir web sitesinden başarıyla sızdırıldıktan sonra ticarileştirilmiş bir biçimde işlenir.
koklayıcı Kötü amaçlı yazılım
Kredi kartı dolandırıcılığı yapmak isteyen siber suçlular, R3NIN Sniffer araç setini ve panelini oldukça yararlı bulabilir.
Bu araç hazırdır ve satıcının “r3nin” takma adı altında faaliyet gösteren aynı tehdit aktörü olduğu, iyi bilinen bir Rusça siber suç forumundan edinilebilir.
Aşağıda, bu algılayıcının dikkate değer özelliklerinden bahsetmiştik: –
- Enjeksiyon için özel JavaScript kodları oluşturulabilir
- Güvenliği ihlal edilmiş ödeme kartı verilerinin tarayıcılar arası çalınması
- Sızdırılan verileri yönetin
- BIN’leri kontrol et
- Verileri ayrıştır
- İstatistik oluştur
Başlangıçta, sniffer araç seti sınırlı bir süre için 1.500 USD’lik başlangıç fiyatıyla kullanıma sunuldu. Ancak, bu araç setinin fiyatlandırma modeli o zamandan beri revize edildi ve ilgili taraflar artık bu araca erişim için 3.000 ABD Doları ile 4.500 ABD Doları arasında ödeme yapmayı bekleyebilir.
Bu algılayıcının geliştiricisi, çeşitli iyileştirmeler ve yeni işlevler içeren iki sürüm başlattı: –
- 1.1 sürümü 13 Ocak 2023 tarihinde kullanıma sunulmuştur.
- 1.2 sürümü 15 Ocak 2023 tarihinde kullanıma sunulmuştur.
Aracı oluşturmaktan sorumlu olan tehdit aktörü/geliştirici, R3NIN Sniffer Panel’in reklam dizisinde panelin yeteneklerini gösteren bir video yükledi:-
Çıkarılan Veri Türleri
Aşağıda, çıkarılan veri türlerinden bahsetmiştik: –
- Son kullanma tarihi
- İsim
- Adres
- Şehir
- Durum
- pin kodu
- Ülke
- E-posta
- Telefon
- Alan
Nesne ve Uzaktan Yürütme
Siber suçlular, yasa dışı planlarını gerçekleştirmek için bağımsız, kötü amaçlı bir komut dosyasını doğrudan güvenliği aşılmış bir ödeme satıcısı sitesine yerleştirir.
Bu komut dosyası, şüphelenmeyen bir kullanıcı web sitesini ziyaret ettiği anda etkinleştirilmeye ve yürütülmeye hazır olarak sitede kalacaktır. Güvenliği ihlal edilmiş ödeme sayfasına erişildiğinde, içine yerleştirilmiş kötü amaçlı komut dosyası çalışmaya başlar.
Birincil amacı, kurban tarafından sayfaya girilen tüm veri girişlerini çıkarmak ve ele geçirmektir. Betik daha sonra bu bilgiyi önceden yapılandırılmış sniffer paneline iletmeye devam edecektir.
Bir kurban güvenliği ihlal edilmiş bir satıcı web sitesine eriştiğinde, algılayıcı paneli tarafından oluşturulan koşullu bir komut dosyası tetiklenir. Bu komut dosyası, uzak bir sunucuda depolanan gizlenmiş kötü amaçlı komut dosyasını etkinleştirmek ve çağırmak için tasarlanmıştır.
Operasyonlarının bir parçası olarak, kötü amaçlı komut dosyası, kurbanın güvenliği ihlal edilmiş satıcı web sitesindeki oturumuna geçici olarak eklenir. Gömüldükten sonra, kurban tarafından web sitesinde yapılan tüm veri girişlerini izlemek ve engellemek için etkinleştirilir.
Toplanan bu veriler daha sonra daha fazla işlem ve kullanım için sniffer paneline geri iletilir. Bu şemada kullanılan uzak sunucular, erişildiğinde boş, beyaz bir ekran gösterecek şekilde yapılandırılmıştır.
Ancak, harici bir kaynaktan erişilirse, sunucu otomatik olarak önceden yapılandırılmış farklı bir web sayfasına yönlendirilir. Bu boş sayfa özelliği, geliştiricisi tarafından “beyaz ekran görüntüsü” olarak adlandırılmıştır.
Ödeme sistemlerine yetkisiz erişimin ve bu sistemlerin ele geçirilmesinin önlenmesine yardımcı olmak için, e-ticaret satıcılarının hem ödeme sayfalarını hem de ödeme ağ geçitleriyle iletişim kuran sunucuları düzenli ve kapsamlı bir şekilde denetlemeleri şiddetle tavsiye edilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin