Magecart چیست؟

تعدادی از گروه‌های هکری که از تکنیک‌های اسکیمینگ آنلاین (skimming) برای سرقت داده‌های شخصی) اطلاعات مشتریان و شماره کارت آنها( از وب‌سایت‌های دارای درگاه خرید استفاده می‌کنند تحت عنوان «Magecart» شناخته می‌شوند. گروه‌های Magecart تا کنون نفوذهای موفقیت‌آمیزی به بسیاری از برندهای بنام و مشهور داشته‌اند. این نام بر اساس هدف اصلی یعنی پلتفرم Magento که قابلیت پشتیبانی از سبد خرید و پرداخت آنلاین را برای وب‌سایت‌های فروشگاهی فراهم می‌کند برای این گروه‌ها انتخاب شده است.

پیامد حملات Magecart

تعدادی از پیامدهای منفی و مخاطره‌آمیز حملات Magecart شامل موارد زیر هستند:

• سرقت اطلاعات شخصی: اگرچه حملات Magecart با هدف جمع‌آوری اطلاعات کارت بانکی کاربران اجرا می‌شوند اما مهاجمان می‌توانند اطلاعات شخصی افراد را نیز سرقت کنند. این شرایط می‌تواند تأثیرات بسیار مخربی بر روی میلیون‌ها فروشگاه داشته باشد.
• از دست دادن درآمد: فروشگاه‌های الکترونیک متوسط و کوچک که مورد هدف حملات Magecart قرار گرفته‌اند، شاهد کاهش چشمگیر فروش محصولاتشان بوده‌اند. دلیل اصلی چنین ریزشی فقدان اعتماد مشتریان به شرکت مدنظر برای پیشگیری از نشت اطلاعات مشتریان است.
• افزایش آلودگی: گروه‌های Magecart می‌توانند اطلاعات ورود به حساب کاربر و مدیر وب‌سایت را جمع‌آوری نموده و از آنها برای حمله به سایر وب‌سایت‌ها و آلوده‌سازی‌شان استفاده کنند. برای مثال این گروه‌های هکری در رخنه امنیتی VisionDirect.co.uk، علاوه بر وب‌سایت اصلی 7 کشور اروپایی را نیز آلوده کردند.
• آسیب‌های قانونی و مقرراتی: شرکتی که مورد هدف حملات Magecart قرار گرفته و در صورت نقض قوانینی مثل GDPR و ناتوانی در پردازش کارت‌های اعتباری ممکن است با شکایت مشتریان خودش و در نتیجه با جریمه‌های هنگفت مواجه گردد.

نمونه‌هایی از قربانیان Magecart

تعدادی از کسب‌وکارهایی که مورد هدف گروه‌های Magecart قرار گرفته‌اند عبارتند از:

Magento

گروه‌های هکری Magecart ابتدا ارایه‌دهنده نرم‌افزارهای فروشگاهی را مورد هدف قرار دادند. نام Magecart نیز ترکیبی از کلمات shopping cart (سبد خرید) و Magento است. این شرکت و سایر کسب‌وکارهای ارایه‌دهنده نرم‌افزارهای تجارت الکترونیک مثل OpenCart از جمله اهداف اصلی گروه‌های Magecart بوده‌اند.

British Airways

شرکت هواپیمایی British Airways اعلام کرد که وب‌سایت این شرکت و همچنین نرم‌افزار همراه آن مورد هدف مهاجمان قرار گرفته است. این افراد موفق به سرقت اطلاعات پرداخت 380 هزار مشتری شرکت British Airways شده‌اند.

بنا به گفته شرکت RiskIQ این رخنه با استفاده از Magecart انجام شده است. مهاجمان توانسته بودند با استفاده از قابلیت و ساختار خاص وب‌سایت British Airways به آن نفوذ کنند.

مهاجمان Magecart فرم‌های جاوااسکریپت مربوط به اجرای تراکنش را از وب‌سایت British Airways کپی نموده و سپس آنها را تغییر دادند تا اطلاعات اجرای تراکنش را به سرور تحت کنترل خودشان ارسال کنند. آنها اقداماتی را جهت  پیشگیری از شناسایی انجام دادند به گونه‌ای که فعالیت فرم‌های مدنظر در مرورگر کاربران مطابق انتظار بود.

مهاجمان همچنین می‌دانستند که کاربرد نرم‌افزار همراه British Airways مشابه با نرم‌افزار تحت وب این شرکت است. بنابراین توانستند با رخنه به وب‌سایت شرکت، به برنامه کاربردی همراه آن هم دسترسی یابند. در حقیقت تعداد بسیار زیادی از هزاران قربانی این حمله کاربران نرم‌افزار همراه آن بودند.

باکت‌های آمازون S3

شرکت RiskIQ اعلام کرد که تعداد تأمین‌کنندگان پلتفرم‌های تحت وب شخص ثالثی که مورد نفوذ گروه‌های Magecart قرار گرفته‌اند بسیار بیشتر از رقمی است که پیش از این گزارش شده بود. در حقیقت مشخص شده که این مهاجمان فرایند نفوذ به وب‌سایت‌ها را به صورت خودکار اجرا می‌کنند. آنها با جستجوی باکت‌های آمازون A3 که پیکربندی نامناسبی داشتند، به تعداد بسیار زیادی از این باکت‌ها نفوذ کردند (این مسئله بر روی بیش از 17 هزار دامنه تأثیرگذار بوده است). بسیاری از وب‌سایت‌هایی که تحت تأثیر این حمله قرار دارند جزو 2 هزار وب‌سایت برتر در رتبه‌های الکسا هستند.

hannaandersson

در سال 2020 میلادی شرکت آمریکایی hannaandersson که در زمینه تولید پوشاک کودکان فعالیت دارد اعلام نمود که این شرکت هک شده و حدود 2 ماه است که یک کد مخرب به آن تزریق شده تا اطلاعات اجرای تراکنش کاربران را سرقت کند.

مشابه بسیاری از حملات Magecart، این حمله هم تا پیش از انتشار اطلاعات کاربران در دارک وب شناسایی نشد. بر اساس قانون حفاظت از حریم خصوصی مشتریان در کالیفرنیا شرکت hannaandersson در اثر این رخنه، ملزم به پرداخت یک جریمه 400 هزار دلاری شد. با توجه به اعلامیه منتشر شده، بیش از 200 هزار مشتری آمریکایی که از 16 سپتامبر تا 11 نوامبر 2019 از فروشگاه اینترنتی این شرکت خرید کرده بودند، واجد شرایط دریافت غرامت بودند.

حملات Magecart چگونه انجام می‌شوند؟

ممکن است هر گروه Magecart به روش متفاوتی عمل کند. یکسری از الگوهای بکار گرفته شده در حملات این گروه‌ها شامل موارد زیر هستند:

• مورد هدف قرار دادن تعداد کمی شرکت با ارزش؛
• حملات انبوهی که به صورت اختصاصی برای هدف‌گیری حداکثر تعداد فروشندگان طراحی شده‌اند؛
• استفاده از انواع تکنیک‌های تزریق کد و اسکیمر به همراه سایر روش‌های تزریق و انواع تاکتیک‌ها و ابزارها؛
• اجرای حملات زنجیره تأمین که فروشندگان شخص ثالث را مورد هدف قرار می‌دهند تا به چندین نرم‌افزار تحت وب مختلف دسترسی یابند؛
• مورد هدف قرار دادن پلتفرم‌های تجارت الکترونیک.

ممکن است هر گروه تاکتیک‌ها و اهداف مختلفی را انتخاب کند. این گروه‌ها معمولاً از طریق فرم‌ربایی و سرقت و تحت اختیار گرفتن فرم‌های وب‌سایت‌ها) یا بکارگیری اسکیمینگ دیجیتال اطلاعات کارت‌های بانکی مخاطبان بانک‌ها را به سرقت می‌برند.

براساس تحقیقات جدید، عملیات فرم‌ربایی حدود سه چهارم از رخنه‌های اطلاعاتی وب را به خود اختصاص می‌دهد که نیمی از آنها فروشگاه‌های اینترنتی را تحت تأثیر قرار داده‌اند.

متأسفانه تهدید Magecart دائمی است. محققان امنیت سایبری متوجه شدند که حداقل یک مورد از هر 5 فروشگاه اینترنتی که مورد هدف حملات Magecart قرار گرفته‌اند، فقط طی مدت چند روز دوباره آلوده شده است. گروه‌های هکری Magecart معمولاً اقدامات زیر را جهت حمله دوباره به یک کسب‌وکار انجام می‌دهند:

• درهای پشتی بسیار زیادی (مثل حساب‌های مدیریتی جعلی) را در فروشگاه‌های هک شده قرار می‌دهند؛
• از انواع سازوکارهای آلوده‌سازی از جمله محرک‌های پایگاه داده و اقدامات زمانبندی شده مخفی که به آنها امکان بازیابی دوباره پی‌لود را می‌دهد استفاده می‌کنند؛
• از تکنیک‌های مبهم‌سازی که مانع تشخیص کدهای آنها از کدهای سالم و معتبر می‌شود استفاده می‌کنند؛
• برای هک وب‌سایت‌ها از اکسپلویت‌های امنیتی روز صفر که شامل هیچ وصله امنیتی نیستند استفاده می‌کنند.

نحوه مقابله با حملات Magecart

راهکارهای قابل انجام توسط فروشندگان اینترنتی

اقدامات زیر در راستای کاهش مخاطرات Magecart و سایر حملات سمت کلاینت مؤثر است:

• تشخیص کدهای جاوااسکریپت شخص ثالث: آماده‌سازی منبعی از همه کدهای جاوااسکریپت شخص ثالث بر روی وب‌سایت خودتان؛
• درخواست از شرکت‌های شخص ثالث برای بازرسی کد خودشان: جهت اطمینان از اینکه کد مورد استفاده، کد اصلی آنها است و حاوی هیچ دستورالعمل مخرب یا بدافزاری نیست.

• حرکت از سرویس‌های شخص ثالث به سرویس‌های شخص اول: هر زمان که ممکن بود، نرم‌افزارها را بر روی سرورهای خودتان اجرا کرده و از بکارگیری سرویس‌های شخص ثالث خودداری نمایید. با توجه به وابستگی بسیاری از فروشگاه‌ها به شرکت‌های شخص ثالث، انجام این کار می‌تواند چالش برانگیز باشد.
• پیاده‌سازی هدرهای «سیاست – امنیت – محتوا» HTTP: این هدرها یک لایه حفاظتی اضافه در برابر تزریق اسکریپت بین وب‌سایتی، کلیک ربایی و سایر انواع حملات تزریق کد فراهم می‌کنند.

امروزه راهکارهای اختصاصی مختلفی وجود دارند که می‌توانند از سمت کلاینت حفاظت نموده و از حملات Magecart پیشگیری کنند.

راهکارهای قابل انجام توسط مشتریان

مشتریان در هنگام انجام خرید اینترنتی به وب‌سایت‌های فروشگاهی اعتماد می‌کنند. اگرچه فروشندگان اینترنتی مسئول ایمن‌سازی وب‌سایت خودشان هستند اما هر مشتری می‌تواند برای حفاظت از خودش اقدامات زیر را انجام دهد:

• خودداری از وارد کردن اطلاعات شخصی در وب‌سایت‌هایی که به آنها اطمینان ندارند؛
• استفاده از سرویسی مثل privacy.com برای تولید شماره کارت‌های یک بار مصرف؛
• بررسی لینک وب‌سایت جهت اطمینان از اینکه وارد وب‌سایت جعلی مشابهی که توسط مهاجمان طراحی گردیده، نشده باشند؛
• استفاده از افزونه‌های مرورگر برای پیشگیری از بارگذاری جاوااسکریپت از وب‌سایت‌های غیرمطمئن. این اقدام منجر به به کاهش سطح حمله می‌شود. دقت کنید که چنین تکنیکی قادر به حفاظت در برابر کدهای مخرب تزریق شده در وب‌سایت‌های مورد اطمینان نیست؛
• مسدود کردن قابلیت اتصال به دامنه‌ها و آی‌پی‌های متعلق به مهاجمان. مدیران شبکه‌ها می‌توانند این قابلیت را بر روی دستگاه‌های سازمانی یا مدیریت شده خودشان فعال کنند.

برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.

منبع: imperva