LCBO hesap sahiplerine, web sitesinde bir web skimmer bulunduktan sonra şifrelerini değiştirmeleri ve kredi kartı ekstrelerini izlemeleri tavsiye ediliyor.
12 Ocak 2023’te Ontario Likör Kontrol Kurulu (LCBO), LCBO.com aracılığıyla çevrimiçi satışları etkileyen bir siber güvenlik olayı hakkında bir haber bülteni yayınladı. Dünyanın en büyük içecek alkolü perakendecilerinden ve toptancılarından biridir.
Siber güvenlik olayı, müşteri ödeme bilgilerini almak için tasarlanmış bir web skimmer’dı. Veya LCBO’nun sözleriyle:
“yetkisiz bir taraf, ödeme işlemi sırasında müşteri bilgilerini elde etmek için tasarlanmış web sitemize kötü amaçlı kod yerleştirdi.”
LCBO, tüm LCBO.com hesap şifrelerini sıfırladı.
büyücü arabası
Web skimmer, uzmanlar tarafından bir Magecart web skimmer olarak tanımlandı. Enjekte edilen kötü amaçlı kod, Base64 olarak kodlanmış bir Google Etiket Yöneticisi (GTM) snippet’inin içindeydi. Saldırganlara komut dosyalarını barındırabilecekleri ücretsiz bir altyapı sağladığı ve aynı zamanda tespit edilmekten kaçınmak için gelişmiş yetenek sağladığı için, bu meşru Google hizmetinin kötüye kullanımı devam etmektedir.
Malwarebytes’in Tehdit İstihbaratı Direktörü Jérôme Segura şu yorumu yaptı:
LCBO’nun çevrimiçi portalına yapılan saldırı, daha önce gördüğümüz Google Etiket Yöneticisi gibi yasal parçacıklar kılığında kötü amaçlı kod enjekte etme eğilimini takip ediyor. Bu durumda, tehdit aktörü, daha tipik bir HTTP isteği yerine bir websocket yoluyla skimmer kodunu yükleyerek ekstra bir gizlilik düzeyi ekledi. LCBO, sitesini çevrimdışı duruma getirmek ve takdir edilmesi gereken sorunu kamuya açık bir şekilde kabul etmek ve ifşa etmek için hızlı bir şekilde harekete geçti.”
Kod, yalnızca geçerli URL ‘checkou’ dizesini içeriyorsa skimmer’ı yükler (eksik ‘t’ye dikkat edin). Ardından, iletişim için tipik bir HTTP isteğinden daha gizli olan bir websocket açar. Magecart etki alanı: magento-cdn[.]net, bir aydan daha kısa bir süre önce kaydedildi.
çalıntı bilgi
Basın açıklamasına göre, 5 Ocak 2023 ile 10 Ocak 2023 tarihleri arasında LCBO.com’da check-out sayfalarında kişisel bilgilerini sağlayan ve ödeme sayfasına ilerleyen müşterilerin bilgileri tehlikeye girmiş olabilir.
Çalınan bilgiler isimleri, e-posta ve posta adreslerini, Aeroplan numaralarını, LCBO.com hesap şifresini ve kredi kartı bilgilerini içerebilir.
LCBO, etkilenen kişilerle doğrudan iletişime geçmek istiyor, ancak bu arada, bu süre zarfında LCBO.com’da siparişleri için ödeme başlatan veya tamamlayan tüm müşteriler, kredi kartı ekstrelerini izlemeli ve şüpheli işlemleri kredi kartı sağlayıcılarına bildirmelidir.
Magecart grupları tarafından GTM kapsayıcı yöntemi kullanılarak çalınan ödeme kartı kayıtlarının büyük çoğunluğu daha sonra Dark Web pazaryerlerinde satışa sunuldu.
Sitenizdeki web skimmers’ı önleme
Bir e-ticaret web sitesini işletmek, özellikle ödeme bilgileri bu site aracılığıyla işleniyorsa, belirli sorumlulukları beraberinde getirir. Mali işlemlerin daha büyük, güvenilir taraflara yaptırılması genellikle daha güvenli (ve daha kolay) bir uygulamadır. PCI uyumluluğu ve veri toplamayla ilgili riskler, özellikle işlerin iş tarafına odaklanmayı tercih eden site sahipleri için bunaltıcı olabilir.
Üçüncü taraf kaynak bütünlüğü denetimi, gözden kaçan ancak harici içerik yüklenirken büyük faydalar sağlayabilen bir güvenlik yönüdür. Gerçek şu ki, bir web sitesi genellikle tüm içeriği kendi başına barındıramaz ve hız ve maliyet nedenleriyle CDN’lere ve diğer sağlayıcılara güvenmek daha mantıklıdır.
Bu ilişki, mutlaka bir üçüncü tarafın yaşadığı sorunları atlatmak zorunda olmak anlamına gelmez. Üçüncü taraf kitaplıkları aracılığıyla yayılabilen bir dizi tehdit vardır. Bu nedenle, İçerik Güvenliği Politikası (CSP) ve Alt Kaynak Bütünlüğü (SRI) gibi önlemlerin uygulanması birçok sorunun hafifletilmesine yardımcı olabilir.
Kurban düşmemek
Tüketiciler olarak akılda tutulması gereken bir şey, alışveriş yaptığımız çevrimiçi mağazalara büyük ölçüde güvendiğimizdir. Bu nedenle, belki de daha büyük sitelerle aynı güvenlik düzeyine sahip olmayan daha küçük sitelerden kaçınmak akıllıca olabilir.
NoScript gibi tarayıcı eklentilerinin kullanılması, JavaScript’in güvenilmeyen sitelerden yüklenmesini önleyebilir ve bu nedenle saldırı yüzeyini azaltır. Ancak, zaten güvenilen kaynaklara kötü amaçlı kod yerleştirildiğinde aynı eksikliklere sahiptir.
Magecart ve diğer web skimmers, saldırganlar tarafından kullanılan bilinen etki alanlarına ve IP’lere bağlantıları engelleyerek, sızma katmanında hafifletilebilir. Yine de, yeni mülkleri kaydetmenin ne kadar önemsiz olduğu düşünüldüğünde, kusursuz değildir. Ancak altyapının yeniden kullanımı, hala oldukça sık gördüğümüz bir şeydir.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.