Posnemanje kreditnih kartic – dolga in ovinkasta pot do neuspeha dobavne verige

Raziskovalci družbe za varnost aplikacij Jscrambler so pravkar objavili previdna zgodba o napadih na dobavno verigo ...

… to je tudi močan opomnik, kako dolge so lahko verige napadov.

Na žalost je to dolgo samo v smislu čas, ne dolga po tehnični zahtevnosti ali številu členov v sami verigi.

Pred osmimi leti…

Različica zgodbe na visoki ravni, ki so jo objavili raziskovalci, je preprosto povedana in gre takole:

• V začetku leta 2010 je podjetje za spletno analitiko, imenovano Cockpit, ponujalo brezplačno storitev spletnega trženja in analitike. Številna spletna mesta za e-trgovino so to storitev uporabljala tako, da so pridobila kodo JavaScript s strežnikov podjetja Cockpit in tako vključila kodo tretjih oseb na svoje spletne strani kot zaupanja vredno vsebino.
• Decembra 2014 je Cockpit ukinil svojo storitev. Uporabniki so bili opozorjeni, da bo storitev brez povezave in da bo vsaka koda JavaScript, ki so jo uvozili iz Cockpita, prenehala delovati.
• Novembra 2021 so kibernetski kriminalci odkupili staro ime domene Cockpit. Na kar lahko samo domnevamo, da je bila mešanica presenečenja in veselja, so prevaranti očitno ugotovili, da vsaj 40 spletnih mest za e-trgovino še vedno ni posodobilo svojih spletnih strani, da bi odstranilo vse povezave do Cockpita, in še vedno kličejo domov in sprejemajo vse JavaScripte. kodo, ki je bila v ponudbi.

Lahko vidite, kam gre ta zgodba.

Vsi nesrečni nekdanji uporabniki Cockpita, ki očitno niso pravilno preverili svojih dnevnikov (ali morda celo sploh) od konca leta 2014, niso opazili, da še vedno poskušajo naložiti kodo, ki ne deluje.

Ugibamo, da so ta podjetja res opazila, da ne prejemajo več analitičnih podatkov iz Cockpita, a ker so pričakovala, da bo vir podatkov prenehal delovati, so domnevala, da je konec podatkov konec njihovih skrbi glede kibernetske varnosti na storitev in ime njene domene.

Injiciranje in nadzor

Po mnenju Jscramblerja so prevaranti, ki so prevzeli propadlo domeno in tako pridobili neposredno pot za vstavljanje zlonamerne programske opreme na vse spletne strani, ki so še vedno zaupale in uporabljale to zdaj oživljeno domeno ...

… začel delati natanko to, z vbrizgavanjem nepooblaščenega, zlonamernega JavaScripta v širok nabor spletnih mest za e-trgovino.

To je omogočilo dve glavni vrsti napadov:

• Vstavite kodo JavaScript za spremljanje vsebine vnosnih polj na vnaprej določenih spletnih straneh. Podatki v input, select in textarea polja (kot bi pričakovali v tipičnem spletnem obrazcu) je bilo ekstrahirano, kodirano in eksfiltrirano v vrsto strežnikov »klic domov«, ki jih upravljajo napadalci.
• Vstavite dodatna polja v spletne obrazce na izbranih spletnih straneh. Ta trik, znan kot HTML injekcija, pomeni, da lahko sleparji spodkopljejo strani, ki jim uporabniki že zaupajo. Uporabnike je verjetno mogoče premamiti, da vnesejo osebne podatke, ki jih te strani običajno ne bi zahtevale, kot so gesla, rojstni dnevi, telefonske številke ali podatki o plačilnih karticah.

S tem parom napadalnih vektorjev, ki jim je na voljo, prevaranti ne morejo le izsesati vsega, kar ste vnesli v spletni obrazec na ogroženi spletni strani, temveč tudi pridobiti dodatne podatke, ki omogočajo osebno identifikacijo (PII), ki jih običajno ne bi mogli. ukrasti.

Z odločitvijo, katero kodo JavaScript naj ponudijo na podlagi identitete strežnika, ki je prvotno zahteval kodo, so prevaranti lahko prilagodili svojo zlonamerno programsko opremo za napad na različne vrste spletnih mest za e-trgovino na različne načine.

Ta vrsta prilagojenega odziva, ki ga je enostavno izvesti, če pogledate Referer: glavo, poslano v zahtevah HTTP, ki jih ustvari vaš brskalnik, raziskovalcem kibernetske varnosti prav tako otežuje določitev celotnega obsega »tovora« napada, ki ga imajo kriminalci v rokavu.

Konec koncev, razen če vnaprej poznate natančen seznam strežnikov in URL-jev, ki jih prevaranti iščejo na svojih strežnikih, ne boste mogli ustvariti zahtev HTTP, ki bi pretresle vse verjetne različice napada, ki so ga programirali kriminalci. v sistem.

Če se sprašujete, Referer: glava, ki je napačno črkovana angleška beseda »referrer«, je dobila ime po tipkarski napaki v izvirnem internetu standardi dokument.

Kaj storiti?

• Preglejte svoje spletne povezave v dobavni verigi. Kjer koli se zanašate na URL-je drugih ljudi za podatke ali kodo, ki jo servirate, kot da bi bila vaša lastna, morate redno in pogosto preverjati, ali jim še lahko zaupate. Ne čakajte, da se vaše stranke pritožijo, da je »nekaj videti pokvarjeno«. Prvič, to pomeni, da se v celoti zanašate na reaktivne ukrepe kibernetske varnosti. Drugič, morda ni ničesar očitnega, kar bi stranke same opazile in prijavile.
• Preverite svoje dnevnike. Če vaše spletno mesto uporablja vdelane povezave HTTP, ki ne delujejo več, je očitno nekaj narobe. Ali tej povezavi prej ne bi smel zaupati, ker je bila napačna, ali pa ji ne bi smel več zaupati, ker se ne obnaša več tako, kot se je. Če ne boste preverjali svojih dnevnikov, zakaj bi se sploh trudili z njihovim zbiranjem?
• Redno izvajajte testne transakcije. Ohranite reden in pogost preskusni postopek, ki realno poteka skozi ista zaporedja spletnih transakcij, za katere pričakujete, da jih bodo sledile vaše stranke, in natančno spremljajte vse dohodne in odhodne zahteve. To vam bo pomagalo odkriti nepričakovane prenose (npr. vaš testni brskalnik posrka neznani JavaScript) in nepričakovana nalaganja (npr. podatki, ki se iz testnega brskalnika izlivajo na nenavadne cilje).

Če še vedno pridobivate JavaScript iz strežnika, ki je bil umaknjen pred osmimi leti, še posebej, če ga uporabljate v storitvi, ki obravnava PII ali podatke o plačilih, niste del rešitve, ste del težave …

…zato prosim, ne bodi ta oseba!

---

Opomba za stranke Sophos. »Revitalizirana« spletna domena, uporabljena tukaj za vstavljanje JavaScript (web-cockpit DOT jp, če želite preiskati lastne dnevnike) blokira Sophos kot PROD_SPYWARE_AND_MALWARE in SEC_MALWARE_REPOSITORY. To pomeni, da ni znano le, da je domena povezana s kibernetsko kriminaliteto, povezano z zlonamerno programsko opremo, ampak tudi da je vključena v aktivno streženje kode zlonamerne programske opreme.

---