Krediitkaartide otsimine – tarneahela rikke pikk ja käänuline tee

Rakenduste turvafirma Jscrambleri teadlased avaldasid äsja a hoiatav lugu tarneahela rünnakute kohta…

…see on ka võimas meeldetuletus sellest, kui pikad võivad ründeahelad olla.

Kahjuks on see pikk ainult mõttes aeg, ei ole pikk tehnilise keerukuse või ahela enda lülide arvu poolest.

Kaheksa aastat tagasi…

Teadlaste avaldatud loo kõrgetasemeline versioon lihtsalt räägitakse ja see kõlab järgmiselt:

• 2010. aastate alguses pakkus veebianalüütikafirma Cockpit tasuta veebiturundus- ja analüüsiteenust. Paljud e-kaubanduse saidid kasutasid seda teenust, hankides Cockpiti serveritest JavaScripti koodi, lisades seega kolmanda osapoole koodi oma veebilehtedele usaldusväärse sisuna.
• 2014. aasta detsembris sulges Cockpit oma teenuse. Kasutajaid hoiatati, et teenus läheb võrguühenduseta ja et mis tahes JavaScripti kood, mille nad Cockpitist impordivad, lakkab töötamast.
• 2021. aasta novembris ostsid küberkurjategijad üles Cockpiti vana domeeninime. Võime vaid oletada, et see oli segu üllatusest ja rõõmust, kuid kelmid avastasid ilmselt, et vähemalt 40 e-kaubandussaiti ei olnud ikka veel värskendanud oma veebilehti, et eemaldada linke Cockpitile, ning helistasid endiselt koju ja nõustusid JavaScriptiga. kood, mis oli pakkumisel.

Saab näha, kuhu see lugu läheb.

Kõik õnnetud endised Cockpiti kasutajad, kes ei olnud ilmselt alates 2014. aasta lõpust oma logisid korralikult (või võib-olla isegi üldse) kontrollinud, ei märganud, et nad üritasid endiselt laadida koodi, mis ei tööta.

Oletame, et need ettevõtted märkasid, et nad ei saanud Cockpitist enam analüütilisi andmeid, kuid kuna nad eeldasid, et andmevoog lakkab töötamast, eeldasid nad, et andmete lõpp oli nende küberturvalisusega seotud murede lõpp. teenusele ja selle domeeninimele.

Süstimine ja jälgimine

Jscrambleri sõnul said kelmid, kes võtsid üle kadunud domeeni ja kes said seeläbi otsese tee pahavara sisestamiseks mis tahes veebilehtedele, mis seda nüüd taaselustatud domeeni endiselt usaldasid ja kasutasid…

…hakkas täpselt seda tegema, sisestades volitamata pahatahtlikku JavaScripti paljudele e-kaubanduse saitidele.

See võimaldas kahte peamist tüüpi rünnakuid:

• Sisestage JavaScripti kood, et jälgida sisestusväljade sisu etteantud veebilehtedel. Andmed sisse input, select ja textarea väljad (nagu tüüpilise veebivormi puhul eeldate) ekstraheeriti, kodeeriti ja eksfiltreeriti mitmetesse ründajate hallatavatesse "koju helistamise" serveritesse.
• Sisestage valitud veebilehtede veebivormidesse täiendavad väljad. See trikk, tuntud kui HTML -i süstimine, tähendab, et kelmid võivad õõnestada lehti, mida kasutajad juba usaldavad. Usutavasti võidakse kasutajaid meelitada sisestama isikuandmeid, mida need lehed tavaliselt ei küsi, nagu paroolid, sünnipäevad, telefoninumbrid või maksekaardi andmed.

Nende käsutuses olevate ründevektorite paariga ei saa kelmid mitte ainult sifoonida seda, mida te ohustatud veebilehe veebivormi sisestasite, vaid ka otsida täiendavat isikut tuvastavat teavet (PII), mida nad tavaliselt ei saaks varastada.

Otsustades, millist JavaScripti koodi esitada esmalt koodi taotlenud serveri identiteedi põhjal, suutsid kelmid kohandada oma pahavara erinevat tüüpi e-kaubanduse saitide ründamiseks erineval viisil.

Seda tüüpi kohandatud vastus, mida on lihtne rakendada, vaadates Referer: Teie brauseri genereeritud HTTP-päringutesse saadetud päis muudab ka küberjulgeoleku uurijatel raskeks määrata kurjategijate varrukast kogu ründe "kasuliku koormuse".

Lõppude lõpuks, kui te ei tea ette täpset loendit serveritest ja URL-idest, mida kelmid oma serverites otsivad, ei saa te genereerida HTTP-päringuid, mis raputavad lahti kõik kurjategijate programmeeritud rünnaku võimalikud variandid. süsteemi sisse.

Kui teil tekib küsimus, Referer: päis, mis on ingliskeelse sõna "referrer" kirjaviga, on saanud oma nime algse Interneti trükivea tõttu standardite dokumenti.

Mida teha?

• Vaadake üle oma veebipõhised tarneahela lingid. Kõikjal, kus tuginete teiste inimeste antud URL-idele andmete või koodi jaoks, mida esitate nii, nagu need oleksid teie enda omad, peate regulaarselt ja sageli kontrollima, kas saate neid ikka usaldada. Ärge oodake, kuni teie enda kliendid kurdavad, et "midagi näib olevat katki". Esiteks tähendab see, et tuginete täielikult reaktiivsetele küberjulgeolekumeetmetele. Teiseks ei pruugi klientidel endil olla midagi ilmselget, mida märgata ja teatada.
• Kontrollige oma logisid. Kui teie veebisait kasutab manustatud HTTP-linke, mis enam ei tööta, siis on midagi selgelt valesti. Te kas ei oleks tohtinud seda linki varem usaldada, sest see oli vale, või ei tohiks te seda enam usaldada, kuna see ei käitu enam nii nagu varem. Kui te ei kavatse oma logisid kontrollida, siis milleks neid üldse koguda?
• Tehke regulaarselt testtehinguid. Säilitage regulaarset ja sagedast testimisprotseduuri, mis läbib realistlikult samu võrgutehingute jadasid, mida eeldate, et teie kliendid järgivad, ning jälgige hoolikalt kõiki sissetulevaid ja väljaminevaid taotlusi. See aitab teil märgata ootamatuid allalaadimisi (nt teie testbrauser imeb tundmatut JavaScripti) ja ootamatuid üleslaadimisi (nt testbrauserist ebaharilikesse sihtkohtadesse väljafiltreerumine).

Kui hankite JavaScripti ikka veel kaheksa aastat tagasi kasutuselt kõrvaldatud serverist, eriti kui kasutate seda teenuses, mis käsitleb isikut tuvastavat infot või makseandmeid, siis te ei ole osa lahendusest, vaid probleemist. …

...nii, palun, ära ole see inimene!

---

Märkus Sophose klientidele. "Taaselustatud" veebidomeen, mida kasutatakse siin JavaScripti sisestamiseks (web-cockpit DOT jp, kui soovite otsida oma logisid) on Sophos as blokeerinud PROD_SPYWARE_AND_MALWARE ja SEC_MALWARE_REPOSITORY. See tähendab, et domeen on teadaolevalt seotud mitte ainult pahavaraga seotud küberkuritegevusega, vaid ka aktiivse pahavarakoodi edastamisega.

---