قشط بطاقة الائتمان - الطريق الطويل والمتعرج لفشل سلسلة التوريد

نشر الباحثون في شركة Jscrambler لأمن التطبيقات ملفًا حكاية تحذيرية حول هجمات سلسلة التوريد ...

... هذا أيضًا تذكير قوي بمدى طول سلاسل الهجوم.

للأسف ، هذا طويل فقط من حيث الوقت ، ليس طويلاً من حيث التعقيد التقني أو عدد الروابط في السلسلة نفسها.

منذ ثماني سنوات…

يتم سرد النسخة عالية المستوى من القصة التي نشرها الباحثون ببساطة ، وهي كالتالي:

• في أوائل عام 2010 ، قدمت شركة تحليلات الويب المسماة Cockpit خدمة تسويق وتحليلات مجانية عبر الإنترنت. استخدمت العديد من مواقع التجارة الإلكترونية هذه الخدمة عن طريق الحصول على كود JavaScript من خوادم Cockpit ، وبالتالي دمج كود طرف ثالث في صفحات الويب الخاصة بهم كمحتوى موثوق به.
• في ديسمبر 2014 ، أغلقت Cockpit خدمتها. تم تحذير المستخدمين من أن الخدمة ستكون في وضع عدم الاتصال ، وأن أي كود JavaScript قاموا باستيراده من Cockpit سيتوقف عن العمل.
• في نوفمبر 2021 ، اشترى مجرمو الإنترنت اسم المجال القديم لـ Cockpit. إلى ما يمكننا أن نفترض أنه كان مزيجًا من المفاجأة والبهجة ، وجد المحتالون على ما يبدو أن 40 موقعًا للتجارة الإلكترونية على الأقل لم تقم بعد بتحديث صفحات الويب الخاصة بهم لإزالة أي روابط إلى Cockpit ، وما زالوا يتصلون بالمنزل ويقبلون أي JavaScript الكود الذي كان معروضًا.

يمكنك أن ترى إلى أين تتجه هذه القصة.

فشل أي من مستخدمي Cockpit السابقين الذين لم يجروا التحقق من سجلاتهم بشكل صحيح (أو ربما حتى على الإطلاق) منذ أواخر عام 2014 في ملاحظة أنهم ما زالوا يحاولون تحميل رمز لا يعمل.

نحن نخمن أن هذه الشركات لاحظت أنها لم تحصل على أي بيانات تحليلات أخرى من Cockpit ، ولكن نظرًا لأنهم كانوا يتوقعون توقف موجز البيانات عن العمل ، فقد افترضوا أن نهاية البيانات كانت نهاية مخاوفهم المتعلقة بالأمن السيبراني المتعلقة على الخدمة واسم المجال الخاص بها.

الحقن والمراقبة

وفقًا لـ Jscrambler ، فإن المحتالين الذين استولوا على المجال البائد ، والذين حصلوا بالتالي على مسار مباشر لإدراج البرامج الضارة في أي صفحات ويب لا تزال موثوقة وتستخدم هذا المجال الذي تم إحياؤه الآن ...

... بدأ في فعل ذلك بالضبط ، عن طريق حقن جافا سكريبت غير مصرح بها وخبيثة في مجموعة واسعة من مواقع التجارة الإلكترونية.

مكن هذا نوعين رئيسيين من الهجوم:

• أدخل كود JavaScript لمراقبة محتوى حقول الإدخال على صفحات الويب المحددة مسبقًا. إدخال المعلومات input, select و textarea الحقول (مثل التي تتوقعها في نموذج ويب نموذجي) تم استخراجها وتشفيرها وسحبها إلى مجموعة من خوادم "الاتصال بالمنزل" التي يديرها المهاجمون.
• قم بإدراج حقول إضافية في نماذج الويب على صفحات الويب المحددة. هذه الحيلة المعروفة باسم حقن HTML، يعني أن المحتالين يمكنهم تخريب الصفحات التي يثق بها المستخدمون بالفعل. يمكن تصديق جذب المستخدمين لإدخال البيانات الشخصية التي لا تطلبها هذه الصفحات عادةً ، مثل كلمات المرور أو أعياد الميلاد أو أرقام الهواتف أو تفاصيل بطاقات الدفع.

مع هذا الزوج من موجهات الهجوم الموجودة تحت تصرفهم ، لا يستطيع المحتالون فقط سرقة كل ما كتبته في نموذج ويب على صفحة ويب تم اختراقها ، ولكن أيضًا تعقب معلومات التعريف الشخصية الإضافية (PII) التي لن يكونوا قادرين عليها عادةً سرقة.

من خلال تحديد كود JavaScript المطلوب تقديمه بناءً على هوية الخادم الذي طلب الرمز في المقام الأول ، تمكن المحتالون من تصميم برامجهم الضارة لمهاجمة أنواع مختلفة من مواقع التجارة الإلكترونية بطرق مختلفة.

هذا النوع من الاستجابة المصممة ، والتي يسهل تنفيذها بالنظر إلى Referer: الرأس المرسلة في طلبات HTTP التي تم إنشاؤها بواسطة متصفحك ، يجعل من الصعب أيضًا على الباحثين في مجال الأمن السيبراني تحديد النطاق الكامل "لحمولات" الهجوم التي يمتلكها المجرمون.

بعد كل شيء ، ما لم تكن تعرف مسبقًا القائمة الدقيقة للخوادم وعناوين URL التي يبحث عنها المحتالون على خوادمهم ، فلن تتمكن من إنشاء طلبات HTTP التي تزيل جميع المتغيرات المحتملة للهجوم التي برمجها المجرمون في النظام.

في حال كنت تتساءل ، فإن ملف Referer: العنوان ، وهو تهجئة خاطئة للكلمة الإنجليزية "المُحيل" ، تحصل على اسمها من خطأ مطبعي في الإنترنت الأصلي. المعايير وثيقة.

ماذا ستفعلين.. إذًا؟

• مراجعة روابط سلسلة التوريد على شبكة الإنترنت الخاصة بك. في أي مكان تعتمد فيه على عناوين URL التي يوفرها أشخاص آخرون للبيانات أو التعليمات البرمجية التي تقدمها كما لو كانت خاصة بك ، فأنت بحاجة إلى التحقق بانتظام وبشكل متكرر من أنه لا يزال بإمكانك الوثوق بهم. لا تنتظر حتى يشتكي عملاؤك من "أن شيئًا ما يبدو مكسورًا". أولاً ، هذا يعني أنك تعتمد كليًا على تدابير الأمن السيبراني التفاعلية. ثانيًا ، قد لا يكون هناك أي شيء واضح يمكن للعملاء أنفسهم ملاحظته والإبلاغ عنه.
• تحقق من السجلات الخاصة بك. إذا كان موقع الويب الخاص بك يستخدم روابط HTTP المضمنة التي لم تعد تعمل ، فمن الواضح أن هناك خطأ ما. إما أنه لم يكن يجب أن تثق بهذا الرابط من قبل ، لأنه كان خاطئًا ، أو لا يجب أن تثق به بعد الآن ، لأنه لم يتصرف كما كان عليه من قبل. إذا كنت لن تتحقق من سجلاتك ، فلماذا تهتم بجمعها في المقام الأول؟
• إجراء معاملات الاختبار بانتظام. حافظ على إجراء اختبار منتظم ومتكرر يمر بواقعية عبر نفس تسلسل المعاملات عبر الإنترنت التي تتوقع أن يتبعها عملاؤك ، وتتبع جميع الطلبات الواردة والصادرة عن كثب. سيساعدك هذا على اكتشاف التنزيلات غير المتوقعة (على سبيل المثال ، امتص متصفحك التجريبي لجافا سكريبت غير معروف) والتحميلات غير المتوقعة (على سبيل المثال ، يتم إخراج البيانات من متصفح الاختبار إلى وجهات غير معتادة).

إذا كنت لا تزال تحصل على JavaScript من خادم تم إيقافه قبل ثماني سنوات ، خاصة إذا كنت تستخدمه في خدمة تتعامل مع معلومات PII أو بيانات الدفع ، فأنت لست جزءًا من الحل ، فأنت جزء من المشكلة ...

... لذا ، من فضلك ، لا تكن ذلك الشخص!

---

ملاحظة لعملاء Sophos. نطاق الويب "المُعاد تنشيطه" المُستخدم هنا لإدخال JavaScript (web-cockpit DOT jp، إذا كنت تريد البحث في السجلات الخاصة بك) تم حظره بواسطة Sophos كـ PROD_SPYWARE_AND_MALWARE و SEC_MALWARE_REPOSITORY. يشير هذا إلى أن المجال معروف ليس فقط أنه مرتبط بجرائم الإنترنت المتعلقة بالبرامج الضارة ، ولكن أيضًا للمشاركة بنشاط في تقديم رمز البرامج الضارة.

---