क्रेडिट कार्ड स्किमिंग - आपूर्ति श्रृंखला विफलता की लंबी और घुमावदार सड़क

एप्लिकेशन सुरक्षा कंपनी Jscrambler के शोधकर्ताओं ने हाल ही में एक प्रकाशित किया है सजग कहानी आपूर्ति श्रृंखला हमलों के बारे में …

...यह इस बात का भी एक शक्तिशाली अनुस्मारक है कि हमले की श्रृंखला कितनी लंबी हो सकती है।

अफसोस की बात है कि यह केवल के संदर्भ में लंबा है पहरतकनीकी जटिलता या श्रृंखला में लिंक की संख्या के मामले में लंबे समय तक नहीं।

आठ साल पहले…

शोधकर्ताओं द्वारा प्रकाशित कहानी का उच्च-स्तरीय संस्करण केवल बताया गया है, और यह इस प्रकार है:

• 2010 की शुरुआत में, कॉकपिट नामक एक वेब एनालिटिक्स कंपनी ने एक मुफ्त वेब मार्केटिंग और एनालिटिक्स सेवा की पेशकश की। कई ई-कॉमर्स साइट्स ने कॉकपिट के सर्वर से जावास्क्रिप्ट कोड सोर्स करके इस सेवा का उपयोग किया, इस प्रकार तीसरे पक्ष के कोड को अपने स्वयं के वेब पेजों में विश्वसनीय सामग्री के रूप में शामिल किया।
• दिसंबर 2014 में, कॉकपिट ने अपनी सेवा बंद कर दी। उपयोगकर्ताओं को चेतावनी दी गई थी कि सेवा ऑफ़लाइन हो जाएगी और कॉकपिट से आयात किया गया कोई भी जावास्क्रिप्ट कोड काम करना बंद कर देगा।
• नवंबर 2021 में साइबर अपराधियों ने कॉकपिट का पुराना डोमेन नेम खरीद लिया। हम केवल यह मान सकते हैं कि यह आश्चर्य और खुशी का मिश्रण था, बदमाशों ने स्पष्ट रूप से पाया कि कम से कम 40 ई-कॉमर्स साइटों ने अभी भी कॉकपिट के किसी भी लिंक को हटाने के लिए अपने वेब पेजों को अपडेट नहीं किया था, और अभी भी घर पर कॉल कर रहे थे और किसी भी जावास्क्रिप्ट को स्वीकार कर रहे थे। कोड जो प्रस्ताव पर था।

आप देख सकते हैं कि यह कहानी कहां जा रही है.

कोई भी असहाय पूर्व कॉकपिट उपयोगकर्ता जिन्होंने स्पष्ट रूप से 2014 के अंत से अपने लॉग ठीक से नहीं देखे थे (या शायद बिल्कुल भी) यह नोटिस करने में विफल रहे कि वे अभी भी उस कोड को लोड करने की कोशिश कर रहे थे जो काम नहीं कर रहा था।

हम अनुमान लगा रहे हैं कि उन व्यवसायों ने नोटिस किया कि उन्हें कॉकपिट से कोई और एनालिटिक्स डेटा नहीं मिल रहा था, लेकिन क्योंकि वे उम्मीद कर रहे थे कि डेटा फीड काम करना बंद कर देगा, उन्होंने मान लिया कि डेटा का अंत उनकी साइबर सुरक्षा संबंधी चिंताओं का अंत था सेवा और उसके डोमेन नाम के लिए।

इंजेक्शन और निगरानी

Jscrambler के अनुसार, बदमाश जिन्होंने निष्क्रिय डोमेन पर कब्जा कर लिया था, और जिन्होंने इस तरह किसी भी वेब पेज में मैलवेयर डालने के लिए एक सीधा रास्ता हासिल कर लिया था, जो अभी भी भरोसा करते थे और अब-पुनर्जीवित डोमेन का उपयोग करते थे ...

... ई-कॉमर्स साइटों की एक विस्तृत श्रृंखला में अनाधिकृत, दुर्भावनापूर्ण जावास्क्रिप्ट को इंजेक्ट करते हुए बिल्कुल वही करना शुरू कर दिया।

इसने दो प्रमुख प्रकार के हमलों को सक्षम किया:

• पूर्वनिर्धारित वेब पेजों पर इनपुट फ़ील्ड की सामग्री की निगरानी के लिए जावास्क्रिप्ट कोड डालें। में डेटा input, select और textarea फ़ील्ड्स (जैसे कि आप एक विशिष्ट वेब फ़ॉर्म में अपेक्षा करते हैं) को हमलावरों द्वारा संचालित "कॉल होम" सर्वरों की श्रेणी में निकाला, एन्कोड किया गया और बहिष्कृत किया गया।
• चयनित वेब पृष्ठों पर वेब प्रपत्रों में अतिरिक्त फ़ील्ड सम्मिलित करें। इस ट्रिक के नाम से जाना जाता है एचटीएमएल इंजेक्शन, का अर्थ है कि बदमाश उन पृष्ठों को उलट सकते हैं जिन पर उपयोगकर्ता पहले से ही विश्वास करते हैं। उपयोगकर्ताओं को विश्वसनीय रूप से व्यक्तिगत डेटा दर्ज करने का लालच दिया जा सकता है, जो कि वे पृष्ठ सामान्य रूप से नहीं पूछेंगे, जैसे कि पासवर्ड, जन्मदिन, फ़ोन नंबर या भुगतान कार्ड विवरण।

हमले के वैक्टर की इस जोड़ी के साथ, बदमाश न केवल एक समझौता किए गए वेब पेज पर आपके द्वारा टाइप किए गए वेब फॉर्म में जो कुछ भी टाइप करते हैं, उसे छीन सकते हैं, बल्कि अतिरिक्त व्यक्तिगत पहचान योग्य जानकारी (पीआईआई) के बाद भी जा सकते हैं जो वे सामान्य रूप से नहीं कर पाएंगे। चुराना।

सर्वप्रथम कोड का अनुरोध करने वाले सर्वर की पहचान के आधार पर कौन सा जावास्क्रिप्ट कोड प्रस्तुत करना है, यह तय करके बदमाश विभिन्न प्रकार की ई-कॉमर्स साइट पर अलग-अलग तरीकों से हमला करने के लिए अपने मैलवेयर को तैयार करने में सक्षम थे।

इस तरह की सिलवाया प्रतिक्रिया, जिसे देखकर लागू करना आसान है Referer: आपके ब्राउज़र द्वारा जनरेट किए गए HTTP अनुरोधों में भेजे गए शीर्षलेख, साइबर सुरक्षा शोधकर्ताओं के लिए हमले "पेलोड" की पूरी श्रृंखला निर्धारित करना कठिन बना देता है, जो अपराधियों के पास है।

आखिरकार, जब तक आप पहले से उन सर्वरों और URL की सटीक सूची नहीं जानते हैं जो बदमाश अपने सर्वर पर खोज रहे हैं, आप HTTP अनुरोध उत्पन्न करने में सक्षम नहीं होंगे जो अपराधियों द्वारा प्रोग्राम किए गए हमले के सभी संभावित वेरिएंट को हिला देते हैं। प्रणाली में।

मामले में आप सोच रहे हैं, Referer: हैडर, जो अंग्रेजी शब्द "रेफरर" की गलत स्पेलिंग है, इसका नाम मूल इंटरनेट में टाइपोग्राफिक गलती से मिलता है मानकों दस्तावेज़.

क्या करना है?

• अपने वेब-आधारित आपूर्ति श्रृंखला लिंक की समीक्षा करें। कहीं भी जहां आप डेटा या कोड के लिए अन्य लोगों द्वारा प्रदान किए गए URL पर भरोसा करते हैं, जैसे कि यह आपका अपना था, आपको नियमित रूप से और बार-बार जांच करने की आवश्यकता है कि आप अभी भी उन पर भरोसा कर सकते हैं। अपने स्वयं के ग्राहकों की शिकायत की प्रतीक्षा न करें कि "कुछ टूटा हुआ दिखता है"। सबसे पहले, इसका मतलब है कि आप पूरी तरह प्रतिक्रियाशील साइबर सुरक्षा उपायों पर भरोसा कर रहे हैं। दूसरे, ग्राहकों के लिए खुद नोटिस करने और रिपोर्ट करने के लिए कुछ भी स्पष्ट नहीं हो सकता है।
• अपने लॉग जांचें। यदि आपकी स्वयं की वेबसाइट एम्बेडेड HTTP लिंक्स का उपयोग करती है जो अब काम नहीं कर रहे हैं, तो स्पष्ट रूप से कुछ गलत है। या तो आपको उस लिंक पर पहले भरोसा नहीं करना चाहिए था, क्योंकि वह गलत था, या आपको अब उस पर भरोसा नहीं करना चाहिए, क्योंकि वह पहले जैसा व्यवहार नहीं कर रहा है। यदि आप अपने लॉग की जांच नहीं करने जा रहे हैं, तो उन्हें पहले स्थान पर एकत्रित करने से क्यों परेशान हैं?
• परीक्षण लेनदेन नियमित रूप से करें। एक नियमित और लगातार परीक्षण प्रक्रिया बनाए रखें जो वास्तविक रूप से उन्हीं ऑनलाइन लेन-देन अनुक्रमों से गुजरती है जिनकी आप अपने ग्राहकों से पालन करने की उम्मीद करते हैं, और आने वाले और बाहर जाने वाले सभी अनुरोधों को बारीकी से ट्रैक करते हैं। यह आपको अनपेक्षित डाउनलोड (उदाहरण के लिए अज्ञात जावास्क्रिप्ट में आपका परीक्षण ब्राउज़र चूसने वाला) और अप्रत्याशित अपलोड (उदाहरण के लिए परीक्षण ब्राउज़र से डेटा को असामान्य गंतव्यों में बहिष्कृत किया जाना) का पता लगाने में मदद करेगा।

यदि आप अभी भी जावास्क्रिप्ट को उस सर्वर से सोर्स कर रहे हैं जो आठ साल पहले सेवानिवृत्त हो गया था, खासकर यदि आप इसे पीआईआई या भुगतान डेटा को संभालने वाली सेवा में उपयोग कर रहे हैं, तो आप समाधान का हिस्सा नहीं हैं, आप समस्या का हिस्सा हैं …

…तो, कृपया, वह व्यक्ति मत बनिए!

---

सोफोस ग्राहकों के लिए नोट। जावास्क्रिप्ट इंजेक्शन के लिए यहां इस्तेमाल किया गया "पुनर्जीवित" वेब डोमेन (web-cockpit DOT jp, यदि आप अपने स्वयं के लॉग खोजना चाहते हैं) को सोफोस द्वारा अवरुद्ध कर दिया गया है PROD_SPYWARE_AND_MALWARE और SEC_MALWARE_REPOSITORY. यह दर्शाता है कि डोमेन न केवल मैलवेयर से संबंधित साइबर अपराध से जुड़ा हुआ है, बल्कि मैलवेयर कोड को सक्रिय रूप से प्रदर्शित करने में भी शामिल है।

---