信用卡盗刷——供应链失败的漫长而曲折的道路

时间戳:8 年 2022 月 12 日下午 58:XNUMX
源节点: 1768850
by

应用程序安全公司 Jscrambler 的研究人员刚刚发布了一份 警示故事 关于供应链攻击……

......这也有力地提醒了攻击链可以有多长。

可悲的是,这仅仅是在 ,就技术复杂性或链本身的链接数量而言并不长。

八年前……

研究人员发布的故事的高级版本被简单地讲述了,它是这样的:

  • 在 2010 年代初期,一家名为 Cockpit 的网络分析公司提供了免费的网络营销和分析服务。 许多电子商务网站通过从 Cockpit 的服务器获取 JavaScript 代码来使用这项服务,从而将第三方代码作为可信内容整合到他们自己的网页中。
  • 2014 年 XNUMX 月,Cockpit 关闭了服务。 用户被警告该服务将下线,并且他们从 Cockpit 导入的任何 JavaScript 代码都将停止工作。
  • 2021 年 XNUMX 月,网络犯罪分子买下了 Cockpit 的旧域名。 令我们惊讶和高兴的是,骗子显然发现至少 40 个电子商务网站仍然没有更新他们的网页以删除任何指向 Cockpit 的链接,并且仍在打电话回家并接受任何 JavaScript提供的代码。

你可以看到这个故事的走向。

任何不幸的前 Cockpit 用户自 2014 年底以来显然没有正确检查他们的日志(或者甚至根本没有)没有注意到他们仍在尝试加载不起作用的代码。

我们猜测这些企业确实注意到他们没有从 Cockpit 获得更多的分析数据,但是因为他们期望数据馈送停止工作,他们认为数据的结束是他们网络安全问题相关问题的结束服务及其域名。

注射和监测

根据 Jscrambler 的说法,接管已失效域的骗子因此获得了将恶意软件插入任何仍然信任并使用该现已恢复域的网页的直接途径......

......开始这样做,将未经授权的恶意 JavaScript 注入各种电子商务网站。

这启用了两种主要类型的攻击:

  • 插入 JavaScript 代码以监视预定网页上输入字段的内容。 数据输入 input, selecttextarea 字段(例如您在典型的 Web 表单中所期望的)被提取、编码并泄露到攻击者操作的一系列“回拨”服务器。
  • 将附加字段插入到所选网页上的网络表单中。 这一招,被称为 HTML注入,意味着骗子可以破坏用户已经信任的页面。 用户可能会被引诱输入这些页面通常不会要求的个人数据,例如密码、生日、电话号码或支付卡详细信息。

有了这对攻击媒介,骗子不仅可以窃取您在受感染网页上输入到网络表单中的任何内容,还可以追踪他们通常无法获取的其他个人身份信息 (PII)偷。

通过首先根据请求代码的服务器的身份来决定提供哪些 JavaScript 代码,骗子能够定制他们的恶意软件,以不同的方式攻击不同类型的电子商务网站。

这种量身定制的响应,通过查看 Referer: 在您的浏览器生成的 HTTP 请求中发送的标头,也使网络安全研究人员很难确定犯罪分子袖手旁观的攻击“有效载荷”的全部范围。

毕竟,除非您事先知道骗子在他们的服务器上寻找的服务器和 URL 的精确列表,否则您将无法生成 HTTP 请求来摆脱犯罪分子编写的所有可能的攻击变体进入系统。

如果您想知道, Referer: header 是英文单词“referrer”的拼写错误,得名于原始互联网中的印刷错误 标准 文档。

怎么办呢?

  • 检查您基于网络的供应链链接。 在您依赖其他人提供的 URL 来获取您提供的数据或代码的任何地方,就好像它是您自己的一样,您需要定期并经常检查您是否仍然可以信任他们。 不要等待您自己的客户抱怨“有些东西看起来坏了”。 首先,这意味着您完全依赖被动的网络安全措施。 其次,客户自己可能没有明显需要注意和报告的东西。
  • 检查你的日志。 如果您自己的网站使用不再有效的嵌入式 HTTP 链接,那么显然有问题。 要么您之前不应该信任该链接,因为它是错误的,要么您不应该再信任它,因为它的行为不像以前那样。 如果您不打算检查您的日志,为什么一开始就费心收集它们呢?
  • 定期执行测试交易。 保持定期和频繁的测试程序,实际执行您希望客户遵循的相同在线交易顺序,并密切跟踪所有传入和传出请求。 这将帮助您发现意外下载(例如,您的测试浏览器吸收了未知的 JavaScript)和意外上传(例如,数据从测试浏览器泄露到不寻常的目的地)。

如果您仍在从八年前退役的服务器中获取 JavaScript,特别是如果您在处理 PII 或支付数据的服务中使用它,那么您不是解决方案的一部分,而是问题的一部分……

……所以,请不要成为那个人!

Sophos 客户注意事项。 此处用于 JavaScript 注入的“活化”网络域(web-cockpit DOT jp,如果您想搜索自己的日志)被 Sophos 阻止为 PROD_SPYWARE_AND_MALWARESEC_MALWARE_REPOSITORY. 这表示已知该域不仅与恶意软件相关的网络犯罪有关,而且还参与主动提供恶意软件代码。

时间戳记:

更多来自 裸体安全