ক্রেডিট কার্ড স্কিমিং - সাপ্লাই চেইন ব্যর্থতার দীর্ঘ এবং ঘুরপথ

অ্যাপ্লিকেশন নিরাপত্তা কোম্পানি Jscrambler এ গবেষকরা সবেমাত্র একটি প্রকাশ করেছেন সতর্কীকরণ গল্প সাপ্লাই চেইন আক্রমণ সম্পর্কে...

…এটি একটি শক্তিশালী অনুস্মারক যে আক্রমণের চেইন কতটা দীর্ঘ হতে পারে।

দুঃখের বিষয়, যে নিছক পরিপ্রেক্ষিতে দীর্ঘ সময়, প্রযুক্তিগত জটিলতার পরিপ্রেক্ষিতে বা শৃঙ্খলেই লিঙ্কের সংখ্যা দীর্ঘ নয়।

আট বছর আগে…

গবেষকদের দ্বারা প্রকাশিত গল্পের উচ্চ-স্তরের সংস্করণটি সহজভাবে বলা হয়েছে, এবং এটি এইরকম যায়:

• 2010-এর দশকের গোড়ার দিকে, ককপিট নামে একটি ওয়েব অ্যানালিটিক্স কোম্পানি একটি বিনামূল্যের ওয়েব মার্কেটিং এবং অ্যানালিটিক্স পরিষেবা অফার করেছিল। অসংখ্য ই-কমার্স সাইট ককপিটের সার্ভার থেকে জাভাস্ক্রিপ্ট কোড সোর্সিং করে এই পরিষেবাটি ব্যবহার করেছে, এইভাবে তাদের নিজস্ব ওয়েব পৃষ্ঠাগুলিতে বিশ্বস্ত সামগ্রী হিসাবে তৃতীয় পক্ষের কোড অন্তর্ভুক্ত করেছে।
• ডিসেম্বর 2014 সালে, ককপিট তার পরিষেবা বন্ধ করে দেয়। ব্যবহারকারীদের সতর্ক করা হয়েছিল যে পরিষেবাটি অফলাইনে যাচ্ছে এবং তারা ককপিট থেকে আমদানি করা কোনো জাভাস্ক্রিপ্ট কোড কাজ করা বন্ধ করে দেবে।
• 2021 সালের নভেম্বরে, সাইবার অপরাধীরা ককপিটের পুরোনো ডোমেইন নামটি কিনে নেয়। আমরা যা অনুমান করতে পারি তা ছিল বিস্ময় এবং আনন্দের মিশ্রণ, দুর্বৃত্তরা স্পষ্টতই দেখতে পেয়েছিল যে অন্তত 40টি ই-কমার্স সাইট এখনও ককপিটের কোনও লিঙ্ক মুছে ফেলার জন্য তাদের ওয়েব পৃষ্ঠাগুলি আপডেট করেনি এবং এখনও বাড়িতে ফোন করে যে কোনও জাভাস্ক্রিপ্ট গ্রহণ করছে। কোড যে অফার ছিল.

এই গল্প কোথায় যাচ্ছে আপনি দেখতে পারেন.

2014 সালের শেষের দিক থেকে যে কোনও অসহায় প্রাক্তন ককপিট ব্যবহারকারী যারা দৃশ্যত তাদের লগগুলি সঠিকভাবে চেক করেননি (বা সম্ভবত একেবারেই) তারা লক্ষ্য করতে ব্যর্থ হয়েছেন যে তারা এখনও কোড লোড করার চেষ্টা করছেন যা কাজ করছে না।

আমরা অনুমান করছি যে সেই ব্যবসাগুলি লক্ষ্য করেছে যে তারা ককপিট থেকে আর কোনো বিশ্লেষণী ডেটা পাচ্ছে না, কিন্তু যেহেতু তারা আশা করছিল যে ডেটা ফিড কাজ করা বন্ধ করবে, তাই তারা ধরে নিয়েছিল যে ডেটার সমাপ্তি হল তাদের সাইবার নিরাপত্তা সংক্রান্ত উদ্বেগের অবসান। পরিষেবা এবং এর ডোমেন নাম।

ইনজেকশন এবং নজরদারি

Jscrambler-এর মতে, যারা বিলুপ্ত ডোমেন দখল করে নিয়েছে, এবং যারা এইভাবে যেকোন ওয়েব পৃষ্ঠাগুলিতে ম্যালওয়্যার সন্নিবেশ করার জন্য একটি সরাসরি রুট অর্জন করেছে যা এখনও সেই পুনরুজ্জীবিত ডোমেনটিকে বিশ্বাস করে এবং ব্যবহার করে...

...বিস্তারিত ই-কমার্স সাইটগুলিতে অননুমোদিত, দূষিত জাভাস্ক্রিপ্ট ইনজেক্ট করে ঠিক সেটাই করা শুরু করেছে।

এটি দুটি প্রধান ধরণের আক্রমণ সক্ষম করেছে:

• পূর্বনির্ধারিত ওয়েব পৃষ্ঠাগুলিতে ইনপুট ক্ষেত্রের বিষয়বস্তু নিরীক্ষণ করতে JavaScript কোড সন্নিবেশ করুন। তথ্য input, select এবং textarea ক্ষেত্রগুলি (যেমন আপনি একটি সাধারণ ওয়েব ফর্মে আশা করতে পারেন) আক্রমণকারীদের দ্বারা পরিচালিত "কল হোম" সার্ভারের একটি পরিসরে নিষ্কাশিত, এনকোড এবং এক্সফিল্ট করা হয়েছিল।
• নির্বাচিত ওয়েব পৃষ্ঠাগুলিতে ওয়েব ফর্মগুলিতে অতিরিক্ত ক্ষেত্র সন্নিবেশ করান৷ এই কৌশল, হিসাবে পরিচিত HTML ইনজেকশন, এর মানে হল যে ক্রুক্স এমন পৃষ্ঠাগুলিকে ধ্বংস করতে পারে যা ব্যবহারকারীরা ইতিমধ্যেই বিশ্বাস করে৷ ব্যবহারকারীদের বিশ্বাসযোগ্যভাবে ব্যক্তিগত ডেটা প্রবেশের জন্য প্রলুব্ধ করা যেতে পারে যা সেই পৃষ্ঠাগুলি সাধারণত জিজ্ঞাসা করে না, যেমন পাসওয়ার্ড, জন্মদিন, ফোন নম্বর বা পেমেন্ট কার্ডের বিবরণ।

এই জোড়া আক্রমণ ভেক্টর তাদের নিষ্পত্তির সাথে, দুর্বৃত্তরা একটি আপোসকৃত ওয়েব পৃষ্ঠায় আপনি একটি ওয়েব ফর্মে যা টাইপ করেছেন তা কেবল বন্ধ করতে পারে না, তবে অতিরিক্ত ব্যক্তিগতভাবে সনাক্তযোগ্য তথ্য (PII) অনুসরণ করতে পারে যা তারা সাধারণত করতে সক্ষম হয় না। চুরি

কোন জাভাস্ক্রিপ্ট কোডটি সার্ভারের পরিচয়ের উপর ভিত্তি করে পরিবেশন করার সিদ্ধান্ত নেওয়ার মাধ্যমে যে সার্ভারটি প্রথমে কোডটি অনুরোধ করেছিল, তারা তাদের ম্যালওয়্যারকে বিভিন্ন উপায়ে বিভিন্ন ধরণের ই-কমার্স সাইটে আক্রমণ করার জন্য উপযুক্ত করতে সক্ষম হয়েছিল৷

এই সাজানোর উপযোগী প্রতিক্রিয়া, যা দেখে বাস্তবায়ন করা সহজ Referer: আপনার ব্রাউজার দ্বারা উত্পন্ন HTTP অনুরোধে পাঠানো শিরোনাম, এছাড়াও সাইবারসিকিউরিটি রির্কারদের পক্ষে আক্রমণের সম্পূর্ণ পরিসর নির্ধারণ করা কঠিন করে তোলে “পেলোডস” যে অপরাধীরা তাদের আস্তিন তুলেছে।

সর্বোপরি, যতক্ষণ না আপনি আগে থেকে সার্ভার এবং ইউআরএল-এর সুনির্দিষ্ট তালিকা জানেন যা দুর্বৃত্তরা তাদের সার্ভারে খুঁজছে, আপনি এইচটিটিপি অনুরোধ তৈরি করতে পারবেন না যা অপরাধীদের প্রোগ্রাম করা আক্রমণের সম্ভাব্য সমস্ত রূপগুলিকে শিথিল করে দেয়। সিস্টেমের মধ্যে

যদি আপনি ভাবছেন, Referer: শিরোনাম, যা ইংরেজি শব্দ "রেফারার" এর একটি ভুল বানান, এটি মূল ইন্টারনেটে একটি টাইপোগ্রাফিক ভুল থেকে নামটি পেয়েছে মান নথি।

কি করো?

• আপনার ওয়েব-ভিত্তিক সাপ্লাই চেইন লিঙ্কগুলি পর্যালোচনা করুন। যেকোনও জায়গায় আপনি ডেটা বা কোডের জন্য অন্য লোকেদের দেওয়া ইউআরএল-এর উপর নির্ভর করেন যেগুলি আপনি আপনার নিজের বলে পরিবেশন করেন, আপনাকে নিয়মিত এবং ঘন ঘন পরীক্ষা করতে হবে যে আপনি এখনও তাদের বিশ্বাস করতে পারেন। আপনার নিজের গ্রাহকদের অভিযোগ করার জন্য অপেক্ষা করবেন না যে "কিছু ভেঙে গেছে"। প্রথমত, এর মানে আপনি সম্পূর্ণভাবে প্রতিক্রিয়াশীল সাইবার নিরাপত্তা ব্যবস্থার উপর নির্ভর করছেন। দ্বিতীয়ত, গ্রাহকদের নিজেদের লক্ষ্য করার এবং রিপোর্ট করার জন্য স্পষ্ট কিছু নাও থাকতে পারে।
• আপনার লগ চেক করুন. যদি আপনার নিজের ওয়েবসাইট এমবেডেড HTTP লিঙ্কগুলি ব্যবহার করে যা আর কাজ করছে না, তাহলে কিছু স্পষ্টতই ভুল। হয় আপনার আগে সেই লিঙ্কটিকে বিশ্বাস করা উচিত ছিল না, কারণ এটি ভুল ছিল, অথবা আপনার এটিকে আর বিশ্বাস করা উচিত নয়, কারণ এটি আগের মতো আচরণ করছে না। আপনি যদি আপনার লগ চেক করতে যাচ্ছেন না, কেন প্রথমে সেগুলি সংগ্রহ করতে বিরক্ত করবেন?
• নিয়মিত পরীক্ষা লেনদেন সঞ্চালন. একটি নিয়মিত এবং ঘন ঘন পরীক্ষা পদ্ধতি বজায় রাখুন যা বাস্তবসম্মতভাবে একই অনলাইন লেনদেন ক্রমগুলির মধ্য দিয়ে যায় যা আপনি আপনার গ্রাহকদের অনুসরণ করার আশা করেন এবং সমস্ত আগত এবং বহির্গামী অনুরোধগুলিকে নিবিড়ভাবে ট্র্যাক করুন৷ এটি আপনাকে অপ্রত্যাশিত ডাউনলোডগুলি (যেমন আপনার পরীক্ষা ব্রাউজার অজানা জাভাস্ক্রিপ্টে চুষছে) এবং অপ্রত্যাশিত আপলোডগুলি (যেমন পরীক্ষা ব্রাউজার থেকে অস্বাভাবিক গন্তব্যে ডেটা বের করে দেওয়া) সনাক্ত করতে সহায়তা করবে।

আপনি যদি এখনও এমন একটি সার্ভার থেকে জাভাস্ক্রিপ্ট সোর্স করছেন যা আট বছর আগে অবসর নেওয়া হয়েছে, বিশেষ করে যদি আপনি এটি এমন একটি পরিষেবাতে ব্যবহার করেন যা PII বা অর্থপ্রদানের ডেটা পরিচালনা করে, আপনি সমাধানের অংশ নন, আপনি সমস্যার অংশ। …

…তাই, অনুগ্রহ করে, সেই ব্যক্তি হবেন না!

---

Sophos গ্রাহকদের জন্য নোট. জাভাস্ক্রিপ্ট ইনজেকশনের জন্য এখানে ব্যবহৃত "পুনরুজ্জীবিত" ওয়েব ডোমেন (web-cockpit DOT jp, যদি আপনি আপনার নিজের লগ অনুসন্ধান করতে চান) হিসাবে Sophos দ্বারা ব্লক করা হয়েছে PROD_SPYWARE_AND_MALWARE এবং SEC_MALWARE_REPOSITORY. এটি বোঝায় যে ডোমেনটি শুধুমাত্র ম্যালওয়্যার-সম্পর্কিত সাইবার অপরাধের সাথে জড়িত নয়, ম্যালওয়্যার কোড সক্রিয়ভাবে পরিবেশন করার জন্যও জড়িত।

---