רפרפת כרטיס אשראי - הדרך הארוכה והמפותלת של כשל בשרשרת האספקה

הועלה מחדש על ידי אפלטון

עוקב: 0

חוקרים בחברת אבטחת היישומים Jscrambler פרסמו זה עתה א סיפור אזהרה על התקפות שרשרת האספקה...

...זו גם תזכורת חזקה לכמה ארוכות יכולות להיות שרשראות התקפה.

למרבה הצער, זה ארוך רק במונחים של זמן, לא ארוך מבחינת מורכבות טכנית או מספר חוליות בשרשרת עצמה.

.s-button+.s-button { margin-left: .3125rem; } .s-button { transition: all .15s ליניארי; גודל גופן: .875rem; גובה קו: 1.5; צבע: #f2f2f2; משפחת גופנים: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; תצוגה: בלוק מוטבע; ריפוד: .3125rem 1.25rem; סמן: מצביע; יישור טקסט: מרכז; קישוט טקסט: אין; גבול: 1px מוצק #005bc8; border-radius: 3px; צבע רקע: #005bc8; text-shadow: אין; } .s-button:hover { text-decoration: none; צבע: #fff; border-color: #002d62; צבע רקע: #002d62; } .s-button--white, .s-button--white:hover { color: #005bc8 !important; צבע גבול: #fff; צבע רקע: #fff; } .s-ad-sophos-mdr { font-size: 1rem; גובה קו: 1.5; צבע: #242629; font-family: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; עמדה: קרוב משפחה; רוחב מקסימלי: 769 פיקסלים; שוליים: 15px אוטומטי; ריפוד: 30px 30px 25px; transition: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); יישור טקסט: מרכז; צבע רקע: #0d141d; רקע-חזרה: אין-חזרה; מיקום רקע: 50%; רקע-גודל: כריכה; קופסא-צל: 0 0 0 0 0 שקוף; צבע רקע: #005bc8; רקע-תמונה: אין; מיקום רקע: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; גובה קו: 1.125; margin-bottom: 4px; צבע: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 17px; צבע: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { מיקום: מוחלט; למעלה: 15px; מימין: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; רוחב: 64 פיקסלים; גובה: 11 פיקסלים; יישור אנכי: למעלה; רקע-חזרה: אין-חזרה; גודל רקע: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; משקל גופן: 400; סגנון גופן: רגיל; גודל גופן: 28px; משקל גופן: 700; גובה קו: 1; margin-bottom: 10px; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; גובה קו: 1.25; יישור טקסט: שמאלה; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { מיקום: מוחלט; מימין: 30 פיקסלים; תחתון: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

לפני שמונה שנים…

הגרסה הגבוהה של הסיפור שפורסמה על ידי החוקרים מסופרת בפשטות, והיא מתנהלת כך:

בתחילת שנות ה-2010, חברת ניתוח אתרים בשם Cockpit הציעה שירות שיווק וניתוח אינטרנט בחינם. אתרי מסחר אלקטרוני רבים השתמשו בשירות זה על ידי מיקור קוד JavaScript משרתי Cockpit, ובכך שילבו קוד של צד שלישי בדפי האינטרנט שלהם כתוכן מהימן.
בדצמבר 2014, Cockpit סגרה את השירות שלה. המשתמשים הוזהרו שהשירות יעבור למצב לא מקוון, ושכל קוד JavaScript שהם ייבאו מ-Cockpit יפסיק לפעול.
בנובמבר 2021, פושעי סייבר קנו את שם הדומיין הישן של Cockpit. לפי מה שאנחנו יכולים רק להניח שהוא תערובת של הפתעה ותענוג, הנוכלים כנראה גילו שלפחות 40 אתרי מסחר אלקטרוני עדיין לא עדכנו את דפי האינטרנט שלהם כדי להסיר קישורים ל-Cockpit, ועדיין התקשרו הביתה וקיבלו כל JavaScript. קוד שהוצע.

אתה יכול לראות לאן הסיפור הזה הולך.

כל משתמשי Cockpit לשעבר אומללים שכנראה לא בדקו את היומנים שלהם כראוי (או אולי אפילו בכלל) מאז סוף 2014 לא הבחינו שהם עדיין מנסים לטעון קוד שלא עובד.

אנחנו משערים שהעסקים האלה כן שמו לב שהם לא מקבלים עוד נתוני ניתוח מ-Cockpit, אבל בגלל שהם ציפו שפיד הנתונים יפסיק לעבוד, הם הניחו שסוף הנתונים הוא סוף הדאגות שלהם בנושא אבטחת הסייבר. לשירות ולשם הדומיין שלו.

הזרקה ומעקב

על פי Jscrambler, הנוכלים שהשתלטו על הדומיין שהוצא, ובכך רכשו נתיב ישיר להחדרת תוכנות זדוניות לכל עמודי אינטרנט שעדיין נתנו אמון והשתמשו בדומיין הזה שהתחדש...

...התחיל לעשות בדיוק את זה, להחדיר JavaScript לא מורשה, זדוני למגוון רחב של אתרי מסחר אלקטרוני.

זה אפשר שני סוגים עיקריים של התקפה:

הכנס קוד JavaScript כדי לפקח על התוכן של שדות קלט בדפי אינטרנט שנקבעו מראש. נתונים ב input, select ו textarea שדות (כגון שהיית מצפה בטופס אינטרנט טיפוסי) חולצו, הוצפנו והוצאו למגוון שרתי "התקשר הביתה" שהופעלו על ידי התוקפים.
הוסף שדות נוספים לטפסי אינטרנט בדפי אינטרנט נבחרים. הטריק הזה, המכונה הזרקת HTML, פירושו שנוכלים יכולים לערער דפים שמשתמשים כבר סומכים עליהם. ניתן לפתות משתמשים להזין נתונים אישיים שדפים אלה לא היו מבקשים בדרך כלל, כגון סיסמאות, ימי הולדת, מספרי טלפון או פרטי כרטיס תשלום.

עם צמד וקטורי ההתקפה האלה שעומדים לרשותם, הנוכלים יכלו לא רק לשאוב את כל מה שהקלדת בטופס אינטרנט בדף אינטרנט שנפגע, אלא גם לחפש מידע אישי נוסף (PII) שהם בדרך כלל לא יוכלו לִגנוֹב.

על ידי החלטה איזה קוד JavaScript להגיש על סמך זהות השרת שביקש את הקוד מלכתחילה, יכלו הנוכלים להתאים את התוכנה הזדונית שלהם כדי לתקוף סוגים שונים של אתרי מסחר אלקטרוני בדרכים שונות.

סוג זה של תגובה מותאמת, שקל ליישם על ידי הסתכלות על Referer: כותרת שנשלחת בבקשות ה-HTTP שנוצרו על ידי הדפדפן שלך, גם מקשה על חוקרי אבטחת סייבר לקבוע את כל טווח "מטעני" ההתקפה שיש לפושעים בשרוולים.

אחרי הכל, אלא אם כן אתה יודע מראש את הרשימה המדויקת של שרתים וכתובות אתרים שהנוכלים מחפשים בשרתים שלהם, לא תוכל ליצור בקשות HTTP שמנערות את כל הגרסאות הסבירות של המתקפה שהפושעים תכנתו לתוך המערכת.

למקרה שאתה תוהה, ה Referer: header, שהוא איות שגוי של המילה האנגלית "referrer", מקבל את שמה מטעות דפוס באינטרנט המקורי תקנים מסמך.

מה לעשות?

סקור את קישורי שרשרת האספקה מבוססי האינטרנט שלך. בכל מקום שבו אתה מסתמך על כתובות URL שסופקו על ידי אנשים אחרים עבור נתונים או קוד שאתה מגיש כאילו היו שלך, אתה צריך לבדוק באופן קבוע ותדיר שאתה עדיין יכול לסמוך עליהם. אל תחכו שהלקוחות שלכם יתלוננו ש"משהו נראה שבור". ראשית, זה אומר שאתה מסתמך לחלוטין על אמצעי אבטחת סייבר תגובתיים. שנית, ייתכן שלא יהיה משהו ברור עבור הלקוחות עצמם לשים לב ולדווח עליו.
בדוק את היומנים שלך. אם האתר שלך עושה שימוש בקישורי HTTP משובצים שאינם פועלים עוד, אז ברור שמשהו לא בסדר. או שלא הייתם צריכים לסמוך על הקישור הזה לפני כן, כי הוא היה הלא נכון, או שלא הייתם צריכים לסמוך עליו יותר, כי הוא לא מתנהג כמו פעם. אם אתה לא מתכוון לבדוק את היומנים שלך, למה לטרוח לאסוף אותם מלכתחילה?
בצע עסקאות בדיקה באופן קבוע. הקפידו על הליך בדיקה קבוע ותכוף שעובר באופן מציאותי את אותם רצפי עסקאות מקוונים שאתם מצפים שהלקוחות שלכם יבצעו, ועקוב מקרוב אחר כל הבקשות הנכנסות והיוצאות. זה יעזור לך לזהות הורדות בלתי צפויות (למשל, דפדפן הבדיקה שלך שואב JavaScript לא ידוע) והעלאות בלתי צפויות (למשל נתונים שהוחלפו מדפדפן הבדיקה ליעדים חריגים).

אם אתה עדיין מוצא JavaScript משרת שהוצא משימוש לפני שמונה שנים, במיוחד אם אתה משתמש בו בשירות שמטפל ב-PII או נתוני תשלום, אתה לא חלק מהפתרון, אתה חלק מהבעיה …

...אז, בבקשה, אל תהיה האדם הזה!

הערה ללקוחות Sophos. דומיין האינטרנט "המתחדש" המשמש כאן להזרקת JavaScript (web-cockpit DOT jp, אם אתה רוצה לחפש ביומנים שלך) נחסם על ידי Sophos as PROD_SPYWARE_AND_MALWARE ו SEC_MALWARE_REPOSITORY. זה מציין שהתחום ידוע לא רק כקשור לפשעיות סייבר הקשורה לתוכנות זדוניות, אלא גם כמעורב בהגשה אקטיבית של קוד תוכנה זדונית.

בול זמן: דצמבר 8, 2022דצמבר 8, 2022

בול זמן: אוגוסט 25, 2022

רחיפה בכרטיס אשראי - הדרך הארוכה והמפותלת של כשל בשרשרת האספקה

הועלה מחדש על ידי אפלטון

לפני שמונה שנים…

הזרקה ומעקב

מה לעשות?

עוד מ ביטחון עירום

Firefox מתקן פגם מזויף במסך מלא - קבל את העדכון עכשיו!

תיקון OpenSSL יצאו - באג קריטי שודרג לאחור ל-HIGH, אבל תיקון בכל מקרה!

חבילות JavaScript של NPM נוצלו לרעה כדי ליצור קישורי scambait בכמויות גדולות

S3 Ep102: מיון עובדות מסיפורת בכתבות חדשות אבטחת סייבר [אודיו + תמלול]

Chrome מתקן את יום האפס השמיני של 8 - בדוק את הגרסה שלך עכשיו

S3 Ep97: האם האייפון שלך נפגע? כיצד תוכל לדעת? [אודיו + טקסט]

אודות

חיפוש אנכי ו- Ai

פלטפורמה

שמור על קשר

חֶשְׁבּוֹן