Caesar Cipher Skimmer
Useat laajalti käytetyt sisällönhallintajärjestelmät (CMS), kuten Magento, WordPress ja OpenCart, ovat äskettäin kohdanneet uuden luottokorttiverkkoselvityksen, joka tunnetaan nimellä Caesar Cipher Skimmer. Tämä haittaohjelma tunkeutuu verkkokauppasivustoille tarkoituksenaan kerätä salaisesti talous- ja maksutietoja.
Hyökkäyskampanja kohdistui erityisesti WordPressin WooCommerce-laajennukseen, jossa se manipuloi 'form-checkout.php' PHP-tiedostoa luottokorttitietojen poimimiseksi. Tilannetta valvovat tutkijat ovat havainneet, että syötettyä koodia on muutettu sen näkyvyyden vähentämiseksi minimoimalla käsikirjoituksen hämärtyminen.
Sisällysluettelo
Caesar Cipher Skimmer voidaan ottaa käyttöön aiemmin vaarantuneissa sivustoissa
Tarkemmin sanottuna se käyttää samaa korvausmekanismia, jota käytetään Caesar-salauksessa uhkaavan koodin koodaamiseen sotkuiseksi merkkijonoksi ja piilottaakseen ulkoisen toimialueen, jota käytetään hyötykuorman isännöimiseen. Oletuksena on, että kaikki verkkosivustot on aiemmin vaarantunut muilla tavoilla, jotta ne olisivat saaneet aikaan PHP-komentosarjan, jonka nimi on "style.css" ja "css.php", mikä on ilmeinen yritys jäljitellä HTML-tyylisivua ja välttää havaitsemisen.
Nämä komentosarjat puolestaan on suunniteltu lataamaan toinen obfusoitu JavaScript-koodi, joka luo WebSocketin ja muodostaa yhteyden toiseen palvelimeen todellisen skimmerin hakemiseksi.
Komentosarja lähettää nykyisten verkkosivujen URL-osoitteet, minkä ansiosta hyökkääjät voivat lähettää mukautettuja vastauksia jokaiselle tartunnan saaneelle sivustolle. Jotkut toisen kerroksen skriptin versiot jopa tarkistavat, onko kirjautunut WordPress-käyttäjä lataanut sen, ja muokkaavat vastausta niiden puolesta.
Caesar Cipher Skimmerin operaattorit ovat todennäköisesti venäläisiä
Jotkin käsikirjoituksen versiot sisältävät venäjäksi kirjoitettuja kommentteja, jotka viittaavat siihen, että operaation takana olevat uhkatekijät voivat olla venäjänkielisiä.
Hyökkäys ei perustu pelkästään 'form-checkout.php'-tiedoston muokkaamiseen WooCommercessa; hyökkääjät ovat myös hyödyntäneet laillista WPCode-laajennusta lisätäkseen skimmerin verkkosivustojen tietokantoihin.
Magento-pohjaisilla verkkosivustoilla JavaScript-injektiot löytyvät tietokantataulukoista, kuten core_config_data. OpenCart-sivustoilla käytetty menetelmä on toistaiseksi tuntematon. WordPressistä ja sen laajasta laajennusekosysteemistä on tullut ilkeiden toimijoiden tuottoisia kohteita, koska se on laajalti otettu käyttöön verkkosivustoalustana, mikä tarjoaa heille runsaasti mahdollisuuksia hyökkäyksille.
Verkkosivustojen omistajien on päivitettävä säännöllisesti CMS-ohjelmistonsa ja -laajennukset, ylläpidettävä vahvoja salasanakäytäntöjä ja suoritettava määräajoin tarkastuksia havaitakseen epäilyttävät järjestelmänvalvojan tilit.
Skimmerin uhrit voivat kestää vakavia seurauksia
Luottokorttien verkkokeräimet, jotka tunnetaan myös nimellä Magecart-hyökkäykset tai digitaalinen skimming, voivat aiheuttaa vakavia seurauksia sekä kuluttajille että yrityksille:
- Taloudelliset tappiot : Skimmerit keräävät vaarantuneille verkkosivustoille syötetyt luottokorttitiedot. Näitä tietoja käytetään sitten vilpillisiin liiketoimiin, jotka aiheuttavat suoria taloudellisia menetyksiä asianomaisille henkilöille.
- Identiteettivarkaus : Kerättyjä luottokorttitietoja voidaan käyttää identiteettivarkauksiin, mukaan lukien uusien tilien avaamiseen tai luvattomien ostosten tekemiseen uhrin nimissä.
- Yrityksen maineen vahingoittuminen : Yritykset, jotka joutuvat kärsimään salailuhyökkäyksestä, voivat vahingoittaa mainettaan ja menettää asiakkaiden luottamuksen. Kuluttajat voivat välttää ostoksia verkkosivustoilla, jotka ovat kokeneet tietoturvaloukkauksia.
- Säännösten mukaiset seuraamukset : Lainkäyttöalueesta riippuen yrityksille voidaan määrätä sakkoja ja rangaistuksia, jos ne eivät suojaa asiakastietoja riittävästi. Tietosuojasäädösten, kuten GDPR:n tai CCPA:n, noudattaminen voi myös vaarantua.
- Toiminnalliset häiriöt : Skimming-hyökkäyksen vaikutusten lieventäminen vaatii huomattavia resursseja ja aikaa. Yritysten on ehkä suljettava väliaikaisesti verkkosivustonsa tai palvelunsa tutkiakseen ja korjatakseen rikkomuksen, mikä johtaa toimintahäiriöihin ja taloudellisiin vaikutuksiin.
- Pitkäaikainen vaikutus tuloihin : Yritykset voivat kokea asiakasliikennettä ja myyntiä vähentyneen rikkomisen seurauksena, vaikka se olisikin lieventänyt salaushyökkäystä. Asiakkaiden luottamuksen palauttaminen ja positiivisen maineen uudelleen rakentaminen voi olla pitkän aikavälin haaste.
Yhteenvetona voidaan todeta, että luottokorttien Web-keräimet aiheuttavat merkittäviä riskejä sekä kuluttajille että yrityksille, mikä vaikuttaa taloudelliseen vakauteen, luotettavuuteen ja säännösten noudattamiseen. Ennaltaehkäisevät toimenpiteet, kuten säännölliset tietoturvatarkastukset, tehokkaat salauskäytännöt ja nopeat ohjelmistopäivitykset, ovat välttämättömiä näiden riskien vähentämiseksi ja suojaamiseksi tällaisilta vaarallisilta toimilta.
