کریڈٹ کارڈ سکیمنگ – سپلائی چین کی ناکامی کی لمبی اور سمیٹنے والی سڑک

ایپلی کیشن سیکیورٹی کمپنی Jscrambler کے محققین نے ابھی ایک شائع کیا ہے۔ انتباہ کہانی سپلائی چین حملوں کے بارے میں…

…یہ ایک طاقتور یاد دہانی بھی ہے کہ حملہ کی زنجیریں کتنی لمبی ہوسکتی ہیں۔

افسوس کی بات ہے، یہ صرف کے لحاظ سے طویل ہے وقتتکنیکی پیچیدگی یا سلسلہ میں ہی لنکس کی تعداد کے لحاظ سے طویل نہیں۔

آٹھ سال پہلے…

محققین کے ذریعہ شائع کردہ کہانی کے اعلی سطحی ورژن کو آسانی سے بتایا گیا ہے، اور یہ اس طرح ہے:

• 2010 کی دہائی کے اوائل میں، کاک پٹ نامی ایک ویب اینالیٹکس کمپنی نے مفت ویب مارکیٹنگ اور تجزیاتی سروس پیش کی۔ متعدد ای کامرس سائٹس نے اس سروس کو کاک پٹ کے سرورز سے جاوا اسکرپٹ کوڈ حاصل کرکے استعمال کیا، اس طرح تیسرے فریق کے کوڈ کو ان کے اپنے ویب صفحات میں قابل اعتماد مواد کے طور پر شامل کیا۔
• دسمبر 2014 میں، کاک پٹ نے اپنی سروس بند کر دی۔ صارفین کو متنبہ کیا گیا تھا کہ سروس آف لائن ہو جائے گی، اور وہ جاوا اسکرپٹ کوڈ جو انہوں نے کاک پٹ سے درآمد کیا ہے وہ کام کرنا بند کر دے گا۔
• نومبر 2021 میں، سائبر کرائمینلز نے Cockpit کا پرانا ڈومین نام خرید لیا۔ جس کے بارے میں ہم صرف حیرت اور خوشی کا مرکب تصور کر سکتے ہیں، بدمعاشوں کو بظاہر معلوم ہوا کہ کم از کم 40 ای کامرس سائٹس نے ابھی تک اپنے ویب صفحات کو کاک پٹ سے کسی بھی لنک کو ہٹانے کے لیے اپ ڈیٹ نہیں کیا تھا، اور وہ اب بھی گھر پر کال کر کے جاوا اسکرپٹ کو قبول کر رہے تھے۔ کوڈ جو پیشکش پر تھا۔

آپ دیکھ سکتے ہیں کہ یہ کہانی کہاں جا رہی ہے۔

کوئی بھی بدقسمت سابق کاک پٹ صارفین جنہوں نے 2014 کے اواخر سے بظاہر اپنے لاگز کو صحیح طریقے سے چیک نہیں کیا تھا (یا شاید بالکل بھی) وہ یہ محسوس کرنے میں ناکام رہے کہ وہ ابھی تک کوڈ لوڈ کرنے کی کوشش کر رہے ہیں جو کام نہیں کر رہا تھا۔

ہم اندازہ لگا رہے ہیں کہ ان کاروباروں نے محسوس کیا کہ انہیں کاک پٹ سے مزید تجزیاتی ڈیٹا نہیں مل رہا ہے، لیکن چونکہ وہ ڈیٹا فیڈ کے کام کرنا بند کرنے کی توقع کر رہے تھے، اس لیے انہوں نے فرض کیا کہ ڈیٹا کا خاتمہ ان کی سائبر سیکیورٹی سے متعلق خدشات کا خاتمہ ہے۔ سروس اور اس کے ڈومین نام پر۔

انجیکشن اور نگرانی

Jscrambler کے مطابق، وہ بدمعاش جنہوں نے ناکارہ ڈومین پر قبضہ کر لیا، اور جنہوں نے اس طرح کسی بھی ویب پیجز میں میلویئر داخل کرنے کا ایک سیدھا راستہ حاصل کر لیا جو اب بھی اس ڈومین پر بھروسہ اور استعمال کرتا ہے…

…بالکل وہی کرنا شروع کیا، غیر مجاز، بدنیتی پر مبنی JavaScript کو ای کامرس سائٹس کی ایک وسیع رینج میں انجیکشن لگا کر۔

اس نے حملے کی دو بڑی اقسام کو فعال کیا:

• پہلے سے طے شدہ ویب صفحات پر ان پٹ فیلڈز کے مواد کی نگرانی کے لیے JavaScript کوڈ داخل کریں۔ میں ڈیٹا input, select اور textarea فیلڈز (جیسا کہ آپ ایک عام ویب فارم میں توقع کریں گے) کو نکالا گیا، انکوڈ کیا گیا اور حملہ آوروں کے ذریعہ چلائے جانے والے "کال ہوم" سرورز کی ایک رینج میں نکالا گیا۔
• منتخب ویب صفحات پر ویب فارمز میں اضافی فیلڈز داخل کریں۔ یہ چال، کے طور پر جانا جاتا ہے ایچ ٹی ایم ایل انجکشن، کا مطلب ہے کہ بدمعاش ان صفحات کو خراب کر سکتے ہیں جن پر صارفین پہلے سے ہی بھروسہ کرتے ہیں۔ صارفین کو یقین سے ذاتی ڈیٹا داخل کرنے کے لیے لالچ دیا جا سکتا ہے جو کہ وہ صفحات عام طور پر نہیں مانگتے، جیسے پاس ورڈ، سالگرہ، فون نمبر یا ادائیگی کارڈ کی تفصیلات۔

حملہ آوروں کے اس جوڑے کو اپنے اختیار میں رکھنے کے ساتھ، بدمعاش نہ صرف کسی سمجھوتہ شدہ ویب صفحہ پر ویب فارم میں جو کچھ بھی آپ نے ٹائپ کیا ہے اسے ختم کر سکتے ہیں، بلکہ اضافی ذاتی طور پر قابل شناخت معلومات (PII) کو بھی تلاش کر سکتے ہیں جو وہ عام طور پر نہیں کر پاتے۔ چوری.

یہ فیصلہ کرنے سے کہ کون سا JavaScript کوڈ پیش کرنا ہے اس سرور کی شناخت کی بنیاد پر جس نے پہلے کوڈ کی درخواست کی تھی، بدمعاش اپنے میلویئر کو مختلف طریقوں سے مختلف قسم کی ای کامرس سائٹ پر حملہ کرنے کے لیے تیار کرنے میں کامیاب ہوئے۔

اس طرح کا موزوں جواب، جسے دیکھ کر لاگو کرنا آسان ہے۔ Referer: آپ کے براؤزر کے ذریعہ تیار کردہ HTTP درخواستوں میں بھیجا جانے والا ہیڈر، سائبرسیکیوریٹی ریچرز کے لیے حملے کے "پے لوڈز" کی مکمل رینج کا تعین کرنا بھی مشکل بنا دیتا ہے جو مجرموں کے پاس ہے۔

بہر حال، جب تک کہ آپ سرورز اور یو آر ایل کی درست فہرست کو پہلے سے نہیں جان لیتے جنہیں بدمعاش اپنے سرورز پر تلاش کر رہے ہیں، آپ HTTP درخواستیں تیار نہیں کر پائیں گے جو اس حملے کی تمام ممکنہ اقسام کو ہلا کر رکھ دیں جو مجرموں نے پروگرام کیے ہیں۔ نظام میں.

اگر آپ سوچ رہے ہیں، Referer: ہیڈر، جو انگریزی لفظ "ریفرر" کی غلط ہجے ہے، اس کا نام اصل انٹرنیٹ میں ٹائپوگرافیکل غلطی سے آیا ہے۔ معیار دستاویز.

کیا کیا جائے؟

• اپنے ویب پر مبنی سپلائی چین لنکس کا جائزہ لیں۔ کہیں بھی جہاں آپ ڈیٹا یا کوڈ کے لیے دوسرے لوگوں کے فراہم کردہ URLs پر انحصار کرتے ہیں جسے آپ اس طرح پیش کرتے ہیں جیسے یہ آپ کا اپنا ہو، آپ کو باقاعدگی سے اور کثرت سے چیک کرنے کی ضرورت ہے کہ آپ اب بھی ان پر بھروسہ کر سکتے ہیں۔ اپنے گاہکوں کی شکایت کا انتظار نہ کریں کہ "کچھ ٹوٹا ہوا نظر آتا ہے"۔ سب سے پہلے، اس کا مطلب ہے کہ آپ مکمل طور پر رد عمل سے متعلق سائبرسیکیوریٹی اقدامات پر انحصار کر رہے ہیں۔ دوم، ہو سکتا ہے کہ صارفین کے لیے خود نوٹس لینے اور رپورٹ کرنے کے لیے کوئی واضح چیز نہ ہو۔
• اپنے لاگز چیک کریں۔ اگر آپ کی اپنی ویب سائٹ ایمبیڈڈ HTTP لنکس کا استعمال کرتی ہے جو اب کام نہیں کررہے ہیں، تو کچھ واضح طور پر غلط ہے۔ یا تو آپ کو پہلے اس لنک پر بھروسہ نہیں کرنا چاہیے تھا، کیونکہ یہ غلط تھا، یا آپ کو مزید اس پر بھروسہ نہیں کرنا چاہیے، کیونکہ یہ پہلے جیسا برتاؤ نہیں کر رہا ہے۔ اگر آپ اپنے نوشتہ جات کو چیک کرنے نہیں جا رہے ہیں، تو انہیں پہلے جمع کرنے کی زحمت کیوں کریں؟
• ٹیسٹ لین دین کو باقاعدگی سے انجام دیں۔ ایک باقاعدہ اور متواتر جانچ کے طریقہ کار کو برقرار رکھیں جو حقیقت پسندانہ طور پر اسی آن لائن لین دین کے سلسلے سے گزرتا ہے جس کی آپ توقع کرتے ہیں کہ آپ اپنے صارفین کی پیروی کریں گے، اور تمام آنے والی اور جانے والی درخواستوں کو قریب سے ٹریک کریں۔ اس سے آپ کو غیر متوقع ڈاؤن لوڈز (مثلاً آپ کا ٹیسٹ براؤزر نامعلوم جاوا اسکرپٹ میں چوس رہا ہے) اور غیر متوقع اپ لوڈز (مثلاً ڈیٹا کو ٹیسٹ براؤزر سے غیرمعمولی منزلوں پر منتقل کیا جانا) کی نشاندہی کرنے میں مدد کرے گا۔

اگر آپ ابھی بھی کسی ایسے سرور سے جاوا اسکرپٹ سورس کر رہے ہیں جو آٹھ سال پہلے ریٹائر ہو گیا تھا، خاص طور پر اگر آپ اسے کسی ایسی سروس میں استعمال کر رہے ہیں جو PII یا ادائیگی کے ڈیٹا کو ہینڈل کرتی ہے، تو آپ حل کا حصہ نہیں ہیں، آپ مسئلے کا حصہ ہیں۔ …

…تو، براہ کرم، وہ شخص نہ بنیں!

---

سوفوس کے صارفین کے لیے نوٹ۔ جاوا اسکرپٹ انجیکشن کے لیے یہاں استعمال ہونے والا "دوبارہ زندہ" ویب ڈومین (web-cockpit DOT jp، اگر آپ اپنے لاگز کو تلاش کرنا چاہتے ہیں) کو سوفوس کے ذریعہ بلاک کردیا گیا ہے۔ PROD_SPYWARE_AND_MALWARE اور SEC_MALWARE_REPOSITORY. اس سے یہ ظاہر ہوتا ہے کہ ڈومین نہ صرف میلویئر سے متعلق سائبر کرائمینالٹی سے وابستہ ہے بلکہ میلویئر کوڈ کو فعال طور پر پیش کرنے میں بھی شامل ہے۔

---