Caesar Cipher Skimmer

כמה מערכות ניהול תוכן (CMS) בשימוש נרחב, כגון Magento, WordPress ו-OpenCart, נתקלו לאחרונה ברחפן אינטרנט חדש של כרטיסי אשראי הידוע בשם Caesar Cipher Skimmer. תוכנה זדונית זו חודרת לאתרי מסחר אלקטרוני מתוך כוונה לאסוף באופן סמוי פרטים פיננסיים ותשלומים.

קמפיין התקיפה מכוון במיוחד לתוסף WooCommerce עבור וורדפרס, שם הוא עשה מניפולציה על קובץ ה-PHP 'form-checkout.php' כדי לחלץ פרטי כרטיס אשראי. חוקרים המפקחים על המצב ציינו שהקוד המוזרק שונה כדי להפחית את הנראות שלו על ידי מזעור הערפול של התסריט.

רחפן צופן קיסר עשוי להיפרס באתרים שנפגעו בעבר

באופן ספציפי, הוא משתמש באותו מנגנון החלפה המופעל בצופן קיסר כדי לקודד את פיסת הקוד המאיימת למחרוזת משובשת ולהסתיר את התחום החיצוני המשמש לאירוח המטען. ההנחה היא שכל האתרים נפגעו בעבר באמצעים אחרים כדי לביים סקריפט PHP העונה לשם 'style.css' ו-'css.php' במאמץ לכאורה לחקות גיליון סגנונות HTML ולהתחמק מזיהוי.

סקריפטים אלה, בתורם, נועדו לטעון קוד JavaScript מעורפל אחר שיוצר WebSocket ומתחבר לשרת אחר כדי להביא את הרחפן בפועל.

הסקריפט שולח את כתובת האתר של דפי האינטרנט הנוכחיים, מה שמאפשר לתוקפים לשלוח תגובות מותאמות אישית לכל אתר נגוע. גרסאות מסוימות של סקריפט השכבה השנייה אפילו בודקות אם הוא נטען על ידי משתמש וורדפרס מחובר ומשנות את התגובה עבורם.

המפעילים של רחפן צופן קיסר הם כנראה רוסים

גרסאות מסוימות של התסריט מכילות הערות שנכתבו ברוסית, המצביעות על כך שגורמי האיום מאחורי הפעולה עשויים להיות דוברי רוסית.

ההתקפה אינה מסתמכת רק על שינוי הקובץ 'form-checkout.php' ב-WooCommerce; התוקפים ניצלו גם את התוסף הלגיטימי WPCode כדי להחדיר את הרחפן למאגרי מידע של אתרים.

באתרים מבוססי מג'נטו, הזרקות JavaScript נמצאות בטבלאות מסד נתונים כמו core_config_data. השיטה המשמשת עבור אתרי OpenCart עדיין לא ידועה בשלב זה. בשל האימוץ הנרחב שלה כפלטפורמת אתרים, וורדפרס ומערכת האקולוגית הנרחבת של התוספים שלה הפכו למטרות משתלמות עבור שחקנים זדוניים, ומספקים להם הזדמנויות רבות להתקפות.

יש צורך לבעלי אתרים לעדכן באופן קבוע את תוכנת ה-CMS והתוספים שלהם, לשמור על נוהלי סיסמאות חזקים ולבצע ביקורות תקופתיות כדי לזהות חשבונות מנהלים חשודים.

קורבנות של רחפן עלולים לסבול תוצאות חמורות

לרחפני אינטרנט של כרטיסי אשראי, הידועים גם בתור התקפות Magecart או רחיפה דיגיטלית, יכולות להיות השלכות חמורות הן לצרכנים והן לעסקים:

• הפסדים כספיים : רחפנים אוספים פרטי כרטיס אשראי המוזנים באתרי אינטרנט שנפגעו. מידע זה משמש לאחר מכן לעסקאות הונאה, המובילות להפסדים כספיים ישירים עבור אנשים שנפגעו.
• גניבת זהות : ניתן להשתמש בפרטי כרטיס אשראי שנאספו למטרות גניבת זהות, כולל פתיחת חשבונות חדשים או ביצוע רכישות לא מורשות על שם הקורבן.
• פגיעה במוניטין העסקי : חברות שסובלות ממתקפת רפרוף עלולות להיתקל בפגיעה במוניטין שלהן ואובדן אמון הלקוחות. צרכנים עשויים להימנע מקניות באתרים שחוו פרצות אבטחה.
• עונשים רגולטוריים : בהתאם לתחום השיפוט, עסקים עשויים להיקנס ולקבל עונשים על אי הגנה נאותה על נתוני לקוחות. גם הגשה לתקנות הגנת מידע כגון GDPR או CCPA עשויה להיפגע.
• שיבוש תפעולי : הפחתת ההשפעות של התקפת רפרוף דורשת משאבים וזמן משמעותיים. ייתכן שעסקים יצטרכו לסגור זמנית את האתרים או השירותים שלהם כדי לחקור ולתקן את ההפרה, מה שיוביל להפרעה תפעולית ולהשפעה כספית.
• השפעה ארוכת טווח על ההכנסה : גם לאחר הפחתת התקפת רפרוף, עסקים עשויים לחוות תנועת לקוחות ומכירות מופחתות כתוצאה מההפרה. החזרת אמון הלקוחות ובנייה מחדש של מוניטין חיובי יכולים להיות אתגר לטווח ארוך.

לסיכום, רחפני אינטרנט של כרטיסי אשראי מהווים סיכונים משמעותיים הן לצרכנים והן לעסקים, ומשפיעים על היציבות הפיננסית, האמינות והעמידה ברגולציה. אמצעי מניעה, כגון ביקורת אבטחה רגילה, נוהלי הצפנה חזקים ועדכוני תוכנה מיידיים, חיוניים כדי לצמצם סיכונים אלה ולהגן מפני פעילויות לא בטוחות כאלה.