การขโมยข้อมูลบัตรเครดิต – เส้นทางที่ยาวและคดเคี้ยวของความล้มเหลวของห่วงโซ่อุปทาน

นักวิจัยจากบริษัทรักษาความปลอดภัยแอปพลิเคชัน Jscrambler เพิ่งเผยแพร่ไฟล์ อุทาหรณ์ เกี่ยวกับการโจมตีห่วงโซ่อุปทาน...

…นั่นยังเป็นเครื่องเตือนใจที่ทรงพลังว่าสายการโจมตีสามารถมีได้นานแค่ไหน

น่าเศร้าที่มันยาวในแง่ของ เวลาไม่นานในแง่ของความซับซ้อนทางเทคนิคหรือจำนวนลิงก์ในห่วงโซ่นั่นเอง

แปดปีที่แล้ว…

เรื่องราวระดับสูงที่เผยแพร่โดยนักวิจัยได้รับการบอกเล่าอย่างเรียบง่ายและเป็นดังนี้:

• ในช่วงต้นปี 2010 บริษัทวิเคราะห์เว็บที่ชื่อว่า Cockpit ได้เสนอบริการด้านการตลาดและการวิเคราะห์เว็บฟรี ไซต์อีคอมเมิร์ซจำนวนมากใช้บริการนี้โดยการจัดหาโค้ด JavaScript จากเซิร์ฟเวอร์ของ Cockpit ดังนั้นจึงรวมโค้ดของบุคคลที่สามไว้ในหน้าเว็บของตนเองเป็นเนื้อหาที่เชื่อถือได้
• ในเดือนธันวาคม 2014 Cockpit ปิดบริการ ผู้ใช้ได้รับคำเตือนว่าบริการจะออฟไลน์ และโค้ด JavaScript ใดๆ ที่นำเข้ามาจากห้องนักบินจะหยุดทำงาน
• ในเดือนพฤศจิกายน 2021 อาชญากรไซเบอร์ซื้อชื่อโดเมนเก่าของ Cockpit สิ่งที่เราเดาได้คือการผสมผสานระหว่างความประหลาดใจและความสุข เห็นได้ชัดว่ามิจฉาชีพพบว่ามีเว็บไซต์อีคอมเมิร์ซอย่างน้อย 40 แห่งที่ยังไม่ได้อัปเดตหน้าเว็บของตนเพื่อลบลิงก์ใด ๆ ที่ไปยังห้องนักบิน และยังโทรหาที่บ้านและยอมรับ JavaScript ใด ๆ รหัสที่มีให้

คุณสามารถดูได้ว่าเรื่องราวนี้จะเป็นอย่างไร

ผู้ใช้ Cockpit ในอดีตที่เคราะห์ร้ายซึ่งเห็นได้ชัดว่าไม่ได้ตรวจสอบบันทึกอย่างถูกต้อง (หรืออาจเลยด้วยซ้ำ) ตั้งแต่ช่วงปลายปี 2014 ไม่สามารถสังเกตเห็นว่าพวกเขายังคงพยายามโหลดโค้ดที่ไม่ทำงาน

เราคาดเดาว่าธุรกิจเหล่านั้นสังเกตเห็นว่าพวกเขาไม่ได้รับข้อมูลการวิเคราะห์เพิ่มเติมจาก Cockpit แต่เนื่องจากพวกเขาคาดว่าฟีดข้อมูลจะหยุดทำงาน พวกเขาจึงสันนิษฐานว่าการสิ้นสุดของข้อมูลเป็นการสิ้นสุดความกังวลด้านความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับ ไปยังบริการและชื่อโดเมน

การฉีดยาและการเฝ้าระวัง

จากข้อมูลของ Jscrambler เหล่ามิจฉาชีพที่ยึดครองโดเมนที่เลิกใช้แล้ว และเป็นผู้ที่ได้รับเส้นทางโดยตรงเพื่อแทรกมัลแวร์ลงในหน้าเว็บใดๆ ที่ยังคงเชื่อถือและใช้โดเมนที่ฟื้นฟูแล้วในขณะนี้...

…เริ่มทำสิ่งนั้นโดยการใส่ JavaScript ที่ไม่ได้รับอนุญาตและเป็นอันตรายลงในไซต์อีคอมเมิร์ซต่างๆ

สิ่งนี้เปิดใช้งานการโจมตีหลักสองประเภท:

• ใส่รหัส JavaScript เพื่อตรวจสอบเนื้อหาของช่องป้อนข้อมูลบนหน้าเว็บที่กำหนดไว้ล่วงหน้า ข้อมูลใน input, select และ textarea ฟิลด์ (เช่นที่คุณคาดหวังในแบบฟอร์มบนเว็บทั่วไป) ถูกสกัด เข้ารหัส และกรองออกไปยังเซิร์ฟเวอร์ "call home" ที่ดำเนินการโดยผู้โจมตี
• แทรกฟิลด์เพิ่มเติมลงในเว็บฟอร์มบนหน้าเว็บที่เลือก เคล็ดลับนี้เรียกว่า การฉีด HTMLหมายความว่ามิจฉาชีพสามารถล้มล้างเพจที่ผู้ใช้เชื่อถืออยู่แล้ว ผู้ใช้อาจถูกล่อลวงให้ป้อนข้อมูลส่วนบุคคลที่ปกติแล้วเพจเหล่านั้นจะไม่ขอ เช่น รหัสผ่าน วันเกิด หมายเลขโทรศัพท์ หรือรายละเอียดบัตรชำระเงิน

ด้วยเวกเตอร์การโจมตีคู่นี้ มิจฉาชีพไม่เพียงดูดข้อมูลที่คุณพิมพ์ลงในแบบฟอร์มบนเว็บเพจที่ถูกบุกรุกเท่านั้น แต่ยังสามารถติดตามข้อมูลส่วนบุคคลเพิ่มเติม (PII) ที่โดยปกติแล้วพวกเขาจะไม่สามารถทำได้ ขโมย.

เมื่อตัดสินใจว่าโค้ด JavaScript ใดที่จะแสดงตามข้อมูลระบุตัวตนของเซิร์ฟเวอร์ที่ขอโค้ดในตอนแรก อาชญากรสามารถปรับแต่งมัลแวร์ของตนให้โจมตีไซต์อีคอมเมิร์ซประเภทต่างๆ ด้วยวิธีต่างๆ ได้

การตอบสนองที่ปรับให้เหมาะสมนี้ซึ่งง่ายต่อการนำไปใช้โดยดูที่ Referer: ส่วนหัวที่ส่งในคำขอ HTTP ที่สร้างโดยเบราว์เซอร์ของคุณ ยังทำให้ผู้ตรวจสอบความปลอดภัยในโลกไซเบอร์ระบุช่วงการโจมตีเต็มรูปแบบที่อาชญากรรับมือได้ยาก

ท้ายที่สุด เว้นแต่คุณจะรู้ล่วงหน้าถึงรายชื่อเซิร์ฟเวอร์และ URL ที่อาชญากรกำลังมองหาบนเซิร์ฟเวอร์ของพวกเขา คุณจะไม่สามารถสร้างคำขอ HTTP ที่เขย่ารูปแบบการโจมตีที่อาชญากรตั้งโปรแกรมไว้ได้ทั้งหมด เข้าสู่ระบบ

ในกรณีที่คุณสงสัยว่า Referer: ส่วนหัว ซึ่งเป็นการสะกดผิดของคำว่า "referrer" ในภาษาอังกฤษ ได้ชื่อมาจากการพิมพ์ผิดในอินเทอร์เน็ตเดิม มาตรฐาน เอกสาร

จะทำอย่างไร?

• ตรวจสอบการเชื่อมโยงห่วงโซ่อุปทานบนเว็บของคุณ ทุกที่ที่คุณอาศัย URL ที่ผู้อื่นให้มาสำหรับข้อมูลหรือรหัสที่คุณให้บริการราวกับว่าเป็นของคุณเอง คุณต้องตรวจสอบอย่างสม่ำเสมอและบ่อยครั้งว่าคุณยังสามารถเชื่อถือได้ อย่ารอให้ลูกค้าบ่นว่า “บางอย่างดูพัง” ประการแรก หมายความว่าคุณกำลังพึ่งพามาตรการความปลอดภัยทางไซเบอร์เชิงโต้ตอบทั้งหมด ประการที่สอง อาจไม่มีอะไรที่ชัดเจนสำหรับลูกค้าที่จะสังเกตเห็นและรายงาน
• ตรวจสอบบันทึกของคุณ หากเว็บไซต์ของคุณใช้ลิงก์ HTTP แบบฝังซึ่งใช้งานไม่ได้อีกต่อไป แสดงว่ามีบางอย่างผิดปกติอย่างชัดเจน อาจเป็นเพราะคุณไม่ควรเชื่อถือลิงก์นั้นมาก่อน เนื่องจากเป็นลิงก์ที่ไม่ถูกต้อง หรือคุณไม่ควรเชื่อถือลิงก์นั้นอีกต่อไป เพราะมันไม่ทำงานเหมือนที่เคยเป็น หากคุณจะไม่ตรวจสอบบันทึกของคุณ ทำไมต้องไปเก็บมันตั้งแต่แรก?
• ทำรายการทดสอบอย่างสม่ำเสมอ รักษาขั้นตอนการทดสอบอย่างสม่ำเสมอและบ่อยครั้ง ซึ่งผ่านลำดับธุรกรรมออนไลน์เดียวกันกับที่คุณคาดหวังให้ลูกค้าปฏิบัติตาม และติดตามคำขอขาเข้าและขาออกทั้งหมดอย่างใกล้ชิด วิธีนี้จะช่วยให้คุณพบการดาวน์โหลดที่ไม่คาดคิด (เช่น เบราว์เซอร์ทดสอบของคุณดูด JavaScript ที่ไม่รู้จัก) และการอัปโหลดที่ไม่คาดคิด (เช่น ข้อมูลถูกแยกออกจากเบราว์เซอร์ทดสอบไปยังปลายทางที่ผิดปกติ)

หากคุณยังคงจัดหา JavaScript จากเซิร์ฟเวอร์ที่หยุดให้บริการเมื่อแปดปีที่แล้ว โดยเฉพาะอย่างยิ่งหากคุณใช้งานในบริการที่จัดการ PII หรือข้อมูลการชำระเงิน แสดงว่าคุณไม่ได้เป็นส่วนหนึ่งของการแก้ปัญหา แต่คุณเป็นส่วนหนึ่งของปัญหา …

…ดังนั้น ได้โปรด อย่าเป็นคนๆ นั้น!

---

หมายเหตุสำหรับลูกค้า Sophos เว็บโดเมน "ฟื้นฟู" ที่ใช้ที่นี่สำหรับการแทรก JavaScript (web-cockpit DOT jpหากคุณต้องการค้นหาบันทึกของคุณเอง) ถูกบล็อกโดย Sophos เป็น PROD_SPYWARE_AND_MALWARE และ SEC_MALWARE_REPOSITORY. สิ่งนี้แสดงว่าโดเมนนี้เป็นที่รู้จักไม่เพียงแต่เชื่อมโยงกับอาชญากรไซเบอร์ที่เกี่ยวข้องกับมัลแวร์เท่านั้น แต่ยังมีส่วนในการให้บริการโค้ดมัลแวร์อย่างแข็งขันอีกด้วย

---