Çevrimiçi alışveriş yaptığınızda ve ödeme bilgilerinizi girdiğinizde, dolandırıcılık kurbanı olma riskiyle karşı karşıya kalabilirsiniz. Dijital kart kopyalama cihazları, çevrimiçi mağazalara enjekte edilen kod parçacıklarıdır ve siz yazarken kredi kartı numaranızı, son kullanma tarihini ve CVV/CVC’yi çalabilirler.
Yakın zamanda popüler bir e-ticaret platformu olan Magento’yu çalıştıran bir dizi çevrimiçi mağazayı hedef alan yeni bir kötü amaçlı yazılım kampanyası tespit ettik. Uzlaşmaların benzer görünmesi nedeniyle, tehdit aktörlerinin kötü amaçlı kodlarını yerleştirmek için muhtemelen aynı güvenlik açığını kullandıklarına inanıyoruz.
Birkaç gün içinde, çalınan verileri almak için kurulmuş bir düzineden fazla saldırgan kontrollü web sitesi tespit ettik. Bu kötü amaçlı siteleri güvenlik ürünlerimize ekledikten sonra, birkaç yüz tehlikeye atılmış mağazadan birinde alışveriş yapmış olan Malwarebytes kullanıcılarından gelen 1,1 binden fazla benzersiz hırsızlık girişimini koruyabildik.
Teknik detaylar
Her çevrimiçi mağazaya, uzak bir web sitesinden içerik yükleyen basit bir betik etiketi olan, görünüşte zararsız bir kod satırı enjekte edilir. İlginç bir şekilde, farklı hacklenmiş web sitelerinde aynı adlandırma düzenini fark ettik:
{domain}.{shop|online)/img/
Aşağıda popüler bir Avrupa bira üreticisinin online mağazası için böyle bir enjeksiyonun örneği gösterilmektedir:
İşte Kanada’daki bir üniversite için benzer şekilde tehlikeye atılmış başka bir örnek. Resimde, uzaktan yüklenen JavaScript’in içeriğini görebiliriz:
Bu yükleyici, çağrıldığı siteden bilgi alacak basit bir fonksiyon içerir. Örneğin, web sitesinin alan adı, büyük bir gizlenmiş JavaScript bloğundan oluşan gerçek tam skimmer kodunu almak için başka bir URL’ye bir parametre (‘s’) olarak geçiriliyor:
Ödeme sırasında ödeme akışı, mağazanın sayfasına sahte bir “Ödeme Yöntemi” çerçevesi eklenecek şekilde sorunsuz bir şekilde değiştirilir. Dikkat çekici olan nokta, bu belirli mağazanın ödeme sürecini Quickpay adlı bir şirkete devretmiş olmasıdır. Ancak, skimmer kodu, kurbanlara ilk önce gösterilerek öncelik kazanır.
Kredi kartı numaranızı, son kullanma tarihi bilgisini ve CVC’yi sayfaya girdiğinizde, bu veriler gerçek zamanlı olarak iletilir ve suçlunun veri tabanında saklanır.
Azaltma önlemleri
Dijital skimmer’ları bir web sitesine nasıl karıştıkları nedeniyle tanımak çoğu zaman imkansızdır. Ağ trafiğini denetlemediğiniz veya ödeme sayfasını Geliştirici Araçları ile hata ayıklamadığınız sürece, bir mağazanın tehlikeye atılmadığından emin olamazsınız.
Kritik an, kredi kartı numaranızı girmeniz gerektiğinde gerçekleşir. Bu, kötü amaçlı kodun bu bilgileri doğrudan tarayıcınızdan ele geçirme şansına sahip olduğu zamandır.
Sadece birkaç gün içinde, telemetrimiz tehlikeye atılmış bir mağazayı ziyaret eden Malwarebytes kullanıcılarından 1.121 benzersiz blok kaydetti. Aşağıdaki grafik, bu blokları kötü amaçlı skimmer etki alanı başına göstermektedir:
Malwarebytes antivirüs ve tarayıcı uzantısı (Browser Guard), suçluların bu kampanyada kullandığı kötü amaçlı altyapıyı tespit edip engelleyebilir. Tehlikeye atılmış bir mağazayı ziyaret ederseniz, aşağıdaki gibi bir uyarı görürsünüz. Mağazaya erişim engellenmeyecektir ve teoride güvenli bir şekilde alışveriş yapabilmenize rağmen (skimmer kodu yüklenme şansı bulamadı), yine de herhangi bir satın alma işlemi yapmaktan kaçınmanızı öneririz.
Bu blog yazısında yer alan mağazalarla iletişime geçtik ve kötü amaçlı kodu kaldırmak veya web sitelerini geçici olarak askıya almak için çoktan harekete geçtiler. Diğer tehlikeye atılan mağazaların her birine ayrı ayrı ulaşmadık ancak kötü amaçlı altyapıyı Cloudflare’e bildirdik ve Cloudflare de bunu kimlik avı olarak işaretlemek için çoktan harekete geçti.
Çoğu kredi kartı şirketi, çalındıktan sonra yeni bir kartı hızla yeniden verebilir. Ancak, genellikle yalnızca finansal verilerinizi değil, aynı zamanda e-postanızı, ev adresinizi ve telefon numaranızı da toplayan, çevrimiçi bir şey satın alırken genellikle gereken bilgileri toplayan dolandırıcılar gördük.
Yakın zamanda kredi kartı şirketinizin sizi uyarmasına neden olan bir satın alma işlemi yaptığınızdan şüpheleniyorsanız, Malwarebytes Premium Security’de bulunan Kimlik Korumamızı inceleyin.
Uzlaşma Göstergeleri
Skimmer tarafından kullanılan kötü amaçlı alan adları:
codcraft[.]shop
codemingle[.]shop
datawiz[.]shop
deslgnpro[.]shop
happywave[.]shop
luckipath[.]shop
pixelsmith[.]shop
salesguru[.]online
statlstic[.]shop
statmaster[.]shop
trendset[.]website
vodog[.]shop
artvislon[.]shop
statistall[.]com
analytlx[.]shop