حذف کارت اعتباری - جاده طولانی و پر پیچ و خم شکست زنجیره تامین

محققان شرکت امنیت برنامه های کاربردی Jscrambler به تازگی یک مقاله را منتشر کرده اند داستان اخطارآمیز در مورد حملات زنجیره تامین…

... این همچنین یادآوری قوی از طول زنجیره های حمله است.

متأسفانه، این مدتی است که صرفاً از نظر زمان، از نظر پیچیدگی فنی یا تعداد پیوندهای خود زنجیره طولانی نیست.

هشت سال پیش…

نسخه سطح بالای داستان منتشر شده توسط محققان به سادگی بیان می شود و به این صورت است:

• در اوایل دهه 2010، یک شرکت تجزیه و تحلیل وب به نام Cockpit یک سرویس بازاریابی وب و تجزیه و تحلیل رایگان ارائه کرد. بسیاری از سایت‌های تجارت الکترونیک از این سرویس با منبع کد جاوا اسکریپت از سرورهای Cockpit استفاده کردند، بنابراین کد شخص ثالث را به عنوان محتوای قابل اعتماد در صفحات وب خود وارد کردند.
• در دسامبر 2014، کابین خلبان سرویس خود را تعطیل کرد. به کاربران هشدار داده شد که سرویس آفلاین می‌شود و هر کد جاوا اسکریپتی که از Cockpit وارد می‌کنند کار نخواهد کرد.
• در نوامبر 2021، مجرمان سایبری نام دامنه قدیمی Cockpit را خریداری کردند. چیزی که ما فقط می‌توانیم تصور کنیم ترکیبی از شگفتی و لذت بود، کلاهبرداران ظاهرا دریافتند که حداقل 40 سایت تجارت الکترونیک هنوز صفحات وب خود را برای حذف هیچ پیوندی به کابین خلبان به‌روزرسانی نکرده‌اند و همچنان با خانه تماس می‌گیرند و هر جاوا اسکریپت را می‌پذیرند. کدی که در پیشنهاد بود

می توانید ببینید این داستان به کجا می رود.

هر یک از کاربران بدبخت سابق Cockpit که ظاهراً از اواخر سال 2014 گزارش های خود را به درستی (یا حتی شاید اصلاً) بررسی نکرده بودند، متوجه نشدند که هنوز در تلاش برای بارگذاری کدهایی هستند که کار نمی کند.

ما حدس می‌زنیم که آن کسب‌وکارها متوجه شده‌اند که داده‌های تحلیلی بیشتری از Cockpit دریافت نمی‌کنند، اما چون انتظار داشتند فید داده‌ها از کار بیفتد، فرض کردند که پایان داده‌ها پایان نگرانی‌های مربوط به امنیت سایبری آنها است. به سرویس و نام دامنه آن.

تزریق و نظارت

به گفته Jscrambler، کلاهبردارانی که دامنه منحل شده را تصاحب کردند و بنابراین مسیری مستقیم برای وارد کردن بدافزار به هر صفحه وب که هنوز به آن دامنه احیا شده اعتماد داشتند و استفاده می‌کردند، به دست آوردند…

... دقیقاً همین کار را شروع کرد و جاوا اسکریپت غیرمجاز و مخرب را به طیف گسترده ای از سایت های تجارت الکترونیک تزریق کرد.

این دو نوع اصلی حمله را فعال کرد:

• کد جاوا اسکریپت را برای نظارت بر محتوای فیلدهای ورودی در صفحات وب از پیش تعیین شده وارد کنید. داده ها در input, select و textarea فیلدها (مانند آنچه در یک فرم وب معمولی انتظار دارید) استخراج، کدگذاری و به طیف وسیعی از سرورهای «تماس خانه» که توسط مهاجمان اداره می‌شوند، استخراج شد.
• فیلدهای اضافی را در فرم های وب در صفحات وب انتخاب شده درج کنید. این ترفند، معروف به تزریق HTML، به این معنی است که کلاهبرداران می توانند صفحاتی را که کاربران قبلاً به آنها اعتماد دارند، خراب کنند. کاربران می توانند به طور باورپذیر فریب داده شوند تا داده های شخصی را وارد کنند که آن صفحات معمولاً از آنها درخواست نمی کنند، مانند رمز عبور، تاریخ تولد، شماره تلفن یا جزئیات کارت پرداخت.

با در اختیار داشتن این جفت بردار حمله، کلاهبرداران نه تنها می‌توانند هر آنچه را که در یک فرم وب در یک صفحه وب آسیب‌دیده تایپ کرده‌اید حذف کنند، بلکه می‌توانند به دنبال اطلاعات شناسایی شخصی اضافی (PII) نیز بگردند که معمولاً قادر به انجام آن نیستند. کش رفتن.

با تصمیم گیری اینکه کدام کد جاوا اسکریپت بر اساس هویت سروری که در وهله اول کد را درخواست کرده است، ارائه شود، کلاهبرداران توانستند بدافزار خود را برای حمله به انواع مختلف سایت های تجارت الکترونیکی به روش های مختلف تنظیم کنند.

این نوع پاسخ مناسب، که با نگاه کردن به آن آسان است Referer: هدر ارسال شده در درخواست های HTTP که توسط مرورگر شما ایجاد می شود، همچنین تعیین محدوده کامل "بارهای پرداخت" حمله که مجرمان در آستین دارند برای محققان امنیت سایبری دشوار می کند.

به هر حال، مگر اینکه از قبل لیست دقیق سرورها و URL هایی را که کلاهبرداران در سرورهای خود به دنبال آن هستند، بدانید، نمی توانید درخواست های HTTP ایجاد کنید که همه انواع احتمالی حمله را که مجرمان برنامه ریزی کرده اند از بین ببرد. به سیستم.

در صورتی که شما تعجب می کنید، Referer: هدر که غلط املایی کلمه انگلیسی Referrer است، نام خود را از یک اشتباه تایپی در اینترنت اصلی گرفته است. استانداردهای سند.

چه کاری انجام دهید؟

• پیوندهای زنجیره تامین مبتنی بر وب خود را مرور کنید. هر جا که به URL های ارائه شده توسط افراد دیگر برای داده ها یا کدهایی که به گونه ای ارائه می کنید تکیه می کنید، باید به طور منظم و مکرر بررسی کنید که هنوز هم می توانید به آنها اعتماد کنید. منتظر نباشید تا مشتریان خود شکایت کنند که "چیزی شکسته به نظر می رسد". اولاً، این بدان معناست که شما کاملاً به اقدامات امنیتی سایبری واکنشی متکی هستید. ثانیاً، ممکن است هیچ چیز واضحی برای مشتریان وجود نداشته باشد که متوجه شوند و گزارش دهند.
• گزارش های خود را بررسی کنید اگر وب‌سایت شما از پیوندهای HTTP تعبیه‌شده استفاده می‌کند که دیگر کار نمی‌کنند، مشخصاً چیزی اشتباه است. یا نباید قبلاً به آن پیوند اعتماد می کردید، زیرا پیوند اشتباهی بود، یا دیگر نباید به آن اعتماد می کردید، زیرا مانند گذشته رفتار نمی کند. اگر قرار نیست لاگ های خود را بررسی کنید، چرا در وهله اول به خود زحمت جمع آوری آنها را بدهید؟
• معاملات آزمایشی را به طور منظم انجام دهید. یک روش آزمایشی منظم و مکرر را حفظ کنید که به طور واقع بینانه از طریق همان توالی تراکنش های آنلاینی که انتظار دارید مشتریان شما دنبال کنند، می گذرد و همه درخواست های ورودی و خروجی را از نزدیک دنبال کنید. این به شما کمک می کند دانلودهای غیرمنتظره (به عنوان مثال مرورگر آزمایشی شما در حال مکیدن جاوا اسکریپت ناشناخته) و آپلودهای غیرمنتظره (به عنوان مثال داده هایی که از مرورگر آزمایشی به مقاصد غیرعادی استخراج می شوند) را شناسایی کنید.

اگر هنوز جاوا اسکریپت را از سروری که هشت سال پیش بازنشسته شده است تهیه می کنید، به خصوص اگر از آن در سرویسی استفاده می کنید که PII یا داده های پرداخت را مدیریت می کند، شما بخشی از راه حل نیستید، بلکه بخشی از مشکل هستید. …

پس، لطفا، آن شخص نباشید!

---

یادداشت برای مشتریان Sophos. دامنه وب "احیا شده" که در اینجا برای تزریق جاوا اسکریپت استفاده می شود (web-cockpit DOT jp، اگر می خواهید گزارش های خود را جستجو کنید) توسط Sophos مسدود شده است PROD_SPYWARE_AND_MALWARE و SEC_MALWARE_REPOSITORY. این نشان می‌دهد که دامنه نه تنها با جرایم سایبری مرتبط با بدافزار مرتبط است، بلکه در ارائه فعال کدهای بدافزار نیز نقش دارد.

---