Araştırmacılar, aralarında American Express, Diners Club, Discover ve Mastercard’ın da bulunduğu birçok büyük ödeme sağlayıcısını hedefleyen bir Magecart kampanyasını izliyor.
Magecart, web taraması olarak bilinen bir teknik olan kötü amaçlı JavaScript kullanarak çevrimiçi ödeme sayfalarından ödeme verilerini çalma konusunda uzmanlaşmış suç grupları için kullanılan bir şemsiye terimdir.
İlk günlerde Magecart, Magento tabanlı web mağazalarını hedef alan gevşek bir tehdit aktörleri koalisyonu olarak başladı. Günümüzde bu isim, birçok e-ticaret platformuna yönelik web tarama işlemlerini tanımlamak için daha geniş anlamda kullanılmaktadır. Bu saldırılarda suçlular, müşterilerin girdiği kart verilerini ve kişisel ayrıntıları yakalamak için yasal ödeme sayfalarına JavaScript enjekte ediyor.
Araştırmacıların anlattığı kampanya 2022’nin başlarından beri aktif. Uzun süredir devam eden ve geniş erişime sahip bir kredi kartı kopyalama operasyonuyla ilgili geniş bir alan ağı buldular.
“Bu kampanya, en az altı büyük ödeme ağı sağlayıcısını hedef alan komut dosyaları kullanıyor: American Express, Diners Club, Discover (Capital One’ın bir yan kuruluşu), JCB Co., Ltd., Mastercard ve UnionPay. Bu ödeme sağlayıcılarının müşterisi olan kurumsal kuruluşlar, etkilenme olasılığı en yüksek olanlardır.”
Saldırganlar genellikle tedarik zincirlerindeki, üçüncü taraf komut dosyalarındaki veya sitelerin kendilerindeki güvenlik açıklarından yararlanarak e-ticaret sitelerine web skimmer’lar yerleştirir. Bu nedenle web mağazası sahiplerinin, sistemleri güncel tutarak ve içerik yönetim sistemlerini (CMS) izleyerek dikkatli olmaları gerekir.
Web skimmer’ları genellikle ödeme akışına JavaScript kullanarak bağlanır. Kart numaralarını, son kullanma tarihlerini, kart doğrulama kodlarını (CVC) ve fatura veya gönderim ayrıntılarını içeren form alanlarını okumak ve ardından bu verileri saldırganlara göndermek üzere tasarlanmıştır.
Algılanmayı önlemek için, JavaScript büyük ölçüde gizlenmiştir ve hatta skimmer’ı sayfadan kaldırmak için kendi kendini yok etme rutinini bile tetikleyebilir. Bu, yönetici oturumu aracılığıyla gerçekleştirilen araştırmaların şüphe uyandırmayacak şekilde görünmesine neden olabilir.
Kampanya, diğer gizli kalma yöntemlerinin yanı sıra, istikrarlı bir ortam için kurşun geçirmez barındırma kullanıyor. Kurşun geçirmez barındırma, kötüye kullanım şikayetlerini, yayından kaldırma taleplerini ve yasa uygulama eylemlerini kasıtlı olarak göz ardı ederek siber suçluları korumak için tasarlanmış web barındırma hizmetlerini ifade eder.
Nasıl güvende kalınır?
Magecart kampanyaları üç grubu etkiler: müşteriler, satıcılar ve ödeme sağlayıcılar. Web skimmer’ları tarayıcının içinde çalıştığından, birçok geleneksel sunucu tarafı dolandırıcılık kontrolünü atlayabilirler.
Alışveriş yapanlar, güvenliği ihlal edilmiş ödeme sayfalarını kendileri düzeltemese de, maruz kalma durumlarını azaltabilir ve sahtekarlığı erken tespit etme şanslarını artırabilirler.
Web skimmer riskine karşı koruyabileceğiniz birkaç şey:
- Sanal veya tek kullanımlık kartları kullanın çevrimiçi satın alımlar için, herhangi bir yağsız kart numarasının sınırlı bir ömrü ve harcama kapsamı vardır.
- Mümkün olduğunda işlem uyarılarını açın İstenmeyen ödemeleri hızlı bir şekilde tespit etmek için kart etkinliği ve ekstreleri düzenli olarak incelemek için (SMS, e-posta veya uygulama push).
- Güçlü, benzersiz şifreler kullanın Saldırganların çalınan kart verilerinden hesabın tamamını ele geçirmeye kolayca geçememesi için banka ve kart portallarında.
- Bir web koruma çözümü kullanın Kötü amaçlı etki alanlarına bağlanmayı önlemek için.
Profesyonel ipucu: Malwarebytes Tarayıcı Koruması ücretsizdir ve bilinen kötü amaçlı siteleri ve komut dosyalarını engeller.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.