تعدادی از گروههای هکری که از تکنیکهای اسکیمینگ آنلاین (skimming) برای سرقت دادههای شخصی) اطلاعات مشتریان و شماره کارت آنها( از وبسایتهای دارای درگاه خرید استفاده میکنند تحت عنوان «Magecart» شناخته میشوند. گروههای Magecart تا کنون نفوذهای موفقیتآمیزی به بسیاری از برندهای بنام و مشهور داشتهاند. این نام بر اساس هدف اصلی یعنی پلتفرم Magento که قابلیت پشتیبانی از سبد خرید و پرداخت آنلاین را برای وبسایتهای فروشگاهی فراهم میکند برای این گروهها انتخاب شده است.
پیامد حملات Magecart
تعدادی از پیامدهای منفی و مخاطرهآمیز حملات Magecart شامل موارد زیر هستند:
- سرقت اطلاعات شخصی: اگرچه حملات Magecart با هدف جمعآوری اطلاعات کارت بانکی کاربران اجرا میشوند اما مهاجمان میتوانند اطلاعات شخصی افراد را نیز سرقت کنند. این شرایط میتواند تأثیرات بسیار مخربی بر روی میلیونها فروشگاه داشته باشد.
- از دست دادن درآمد: فروشگاههای الکترونیک متوسط و کوچک که مورد هدف حملات Magecart قرار گرفتهاند، شاهد کاهش چشمگیر فروش محصولاتشان بودهاند. دلیل اصلی چنین ریزشی فقدان اعتماد مشتریان به شرکت مدنظر برای پیشگیری از نشت اطلاعات مشتریان است.
- افزایش آلودگی: گروههای Magecart میتوانند اطلاعات ورود به حساب کاربر و مدیر وبسایت را جمعآوری نموده و از آنها برای حمله به سایر وبسایتها و آلودهسازیشان استفاده کنند. برای مثال این گروههای هکری در رخنه امنیتی VisionDirect.co.uk، علاوه بر وبسایت اصلی 7 کشور اروپایی را نیز آلوده کردند.
- آسیبهای قانونی و مقرراتی: شرکتی که مورد هدف حملات Magecart قرار گرفته و در صورت نقض قوانینی مثل GDPR و ناتوانی در پردازش کارتهای اعتباری ممکن است با شکایت مشتریان خودش و در نتیجه با جریمههای هنگفت مواجه گردد.
نمونههایی از قربانیان Magecart
تعدادی از کسبوکارهایی که مورد هدف گروههای Magecart قرار گرفتهاند عبارتند از:
Magento
گروههای هکری Magecart ابتدا ارایهدهنده نرمافزارهای فروشگاهی را مورد هدف قرار دادند. نام Magecart نیز ترکیبی از کلمات shopping cart (سبد خرید) و Magento است. این شرکت و سایر کسبوکارهای ارایهدهنده نرمافزارهای تجارت الکترونیک مثل OpenCart از جمله اهداف اصلی گروههای Magecart بودهاند.
British Airways
شرکت هواپیمایی British Airways اعلام کرد که وبسایت این شرکت و همچنین نرمافزار همراه آن مورد هدف مهاجمان قرار گرفته است. این افراد موفق به سرقت اطلاعات پرداخت 380 هزار مشتری شرکت British Airways شدهاند.
بنا به گفته شرکت RiskIQ این رخنه با استفاده از Magecart انجام شده است. مهاجمان توانسته بودند با استفاده از قابلیت و ساختار خاص وبسایت British Airways به آن نفوذ کنند.
مهاجمان Magecart فرمهای جاوااسکریپت مربوط به اجرای تراکنش را از وبسایت British Airways کپی نموده و سپس آنها را تغییر دادند تا اطلاعات اجرای تراکنش را به سرور تحت کنترل خودشان ارسال کنند. آنها اقداماتی را جهت پیشگیری از شناسایی انجام دادند به گونهای که فعالیت فرمهای مدنظر در مرورگر کاربران مطابق انتظار بود.
مهاجمان همچنین میدانستند که کاربرد نرمافزار همراه British Airways مشابه با نرمافزار تحت وب این شرکت است. بنابراین توانستند با رخنه به وبسایت شرکت، به برنامه کاربردی همراه آن هم دسترسی یابند. در حقیقت تعداد بسیار زیادی از هزاران قربانی این حمله کاربران نرمافزار همراه آن بودند.
باکتهای آمازون S3
شرکت RiskIQ اعلام کرد که تعداد تأمینکنندگان پلتفرمهای تحت وب شخص ثالثی که مورد نفوذ گروههای Magecart قرار گرفتهاند بسیار بیشتر از رقمی است که پیش از این گزارش شده بود. در حقیقت مشخص شده که این مهاجمان فرایند نفوذ به وبسایتها را به صورت خودکار اجرا میکنند. آنها با جستجوی باکتهای آمازون A3 که پیکربندی نامناسبی داشتند، به تعداد بسیار زیادی از این باکتها نفوذ کردند (این مسئله بر روی بیش از 17 هزار دامنه تأثیرگذار بوده است). بسیاری از وبسایتهایی که تحت تأثیر این حمله قرار دارند جزو 2 هزار وبسایت برتر در رتبههای الکسا هستند.
hannaandersson
در سال 2020 میلادی شرکت آمریکایی hannaandersson که در زمینه تولید پوشاک کودکان فعالیت دارد اعلام نمود که این شرکت هک شده و حدود 2 ماه است که یک کد مخرب به آن تزریق شده تا اطلاعات اجرای تراکنش کاربران را سرقت کند.
مشابه بسیاری از حملات Magecart، این حمله هم تا پیش از انتشار اطلاعات کاربران در دارک وب شناسایی نشد. بر اساس قانون حفاظت از حریم خصوصی مشتریان در کالیفرنیا شرکت hannaandersson در اثر این رخنه، ملزم به پرداخت یک جریمه 400 هزار دلاری شد. با توجه به اعلامیه منتشر شده، بیش از 200 هزار مشتری آمریکایی که از 16 سپتامبر تا 11 نوامبر 2019 از فروشگاه اینترنتی این شرکت خرید کرده بودند، واجد شرایط دریافت غرامت بودند.
حملات Magecart چگونه انجام میشوند؟
ممکن است هر گروه Magecart به روش متفاوتی عمل کند. یکسری از الگوهای بکار گرفته شده در حملات این گروهها شامل موارد زیر هستند:
- مورد هدف قرار دادن تعداد کمی شرکت با ارزش؛
- حملات انبوهی که به صورت اختصاصی برای هدفگیری حداکثر تعداد فروشندگان طراحی شدهاند؛
- استفاده از انواع تکنیکهای تزریق کد و اسکیمر به همراه سایر روشهای تزریق و انواع تاکتیکها و ابزارها؛
- اجرای حملات زنجیره تأمین که فروشندگان شخص ثالث را مورد هدف قرار میدهند تا به چندین نرمافزار تحت وب مختلف دسترسی یابند؛
- مورد هدف قرار دادن پلتفرمهای تجارت الکترونیک.
ممکن است هر گروه تاکتیکها و اهداف مختلفی را انتخاب کند. این گروهها معمولاً از طریق فرمربایی و سرقت و تحت اختیار گرفتن فرمهای وبسایتها) یا بکارگیری اسکیمینگ دیجیتال اطلاعات کارتهای بانکی مخاطبان بانکها را به سرقت میبرند.
براساس تحقیقات جدید، عملیات فرمربایی حدود سه چهارم از رخنههای اطلاعاتی وب را به خود اختصاص میدهد که نیمی از آنها فروشگاههای اینترنتی را تحت تأثیر قرار دادهاند.
متأسفانه تهدید Magecart دائمی است. محققان امنیت سایبری متوجه شدند که حداقل یک مورد از هر 5 فروشگاه اینترنتی که مورد هدف حملات Magecart قرار گرفتهاند، فقط طی مدت چند روز دوباره آلوده شده است. گروههای هکری Magecart معمولاً اقدامات زیر را جهت حمله دوباره به یک کسبوکار انجام میدهند:
- درهای پشتی بسیار زیادی (مثل حسابهای مدیریتی جعلی) را در فروشگاههای هک شده قرار میدهند؛
- از انواع سازوکارهای آلودهسازی از جمله محرکهای پایگاه داده و اقدامات زمانبندی شده مخفی که به آنها امکان بازیابی دوباره پیلود را میدهد استفاده میکنند؛
- از تکنیکهای مبهمسازی که مانع تشخیص کدهای آنها از کدهای سالم و معتبر میشود استفاده میکنند؛
- برای هک وبسایتها از اکسپلویتهای امنیتی روز صفر که شامل هیچ وصله امنیتی نیستند استفاده میکنند.
نحوه مقابله با حملات Magecart
راهکارهای قابل انجام توسط فروشندگان اینترنتی
اقدامات زیر در راستای کاهش مخاطرات Magecart و سایر حملات سمت کلاینت مؤثر است:
- تشخیص کدهای جاوااسکریپت شخص ثالث: آمادهسازی منبعی از همه کدهای جاوااسکریپت شخص ثالث بر روی وبسایت خودتان؛
- درخواست از شرکتهای شخص ثالث برای بازرسی کد خودشان: جهت اطمینان از اینکه کد مورد استفاده، کد اصلی آنها است و حاوی هیچ دستورالعمل مخرب یا بدافزاری نیست.
- حرکت از سرویسهای شخص ثالث به سرویسهای شخص اول: هر زمان که ممکن بود، نرمافزارها را بر روی سرورهای خودتان اجرا کرده و از بکارگیری سرویسهای شخص ثالث خودداری نمایید. با توجه به وابستگی بسیاری از فروشگاهها به شرکتهای شخص ثالث، انجام این کار میتواند چالش برانگیز باشد.
- پیادهسازی هدرهای «سیاست – امنیت – محتوا» HTTP: این هدرها یک لایه حفاظتی اضافه در برابر تزریق اسکریپت بین وبسایتی، کلیک ربایی و سایر انواع حملات تزریق کد فراهم میکنند.
امروزه راهکارهای اختصاصی مختلفی وجود دارند که میتوانند از سمت کلاینت حفاظت نموده و از حملات Magecart پیشگیری کنند.
راهکارهای قابل انجام توسط مشتریان
مشتریان در هنگام انجام خرید اینترنتی به وبسایتهای فروشگاهی اعتماد میکنند. اگرچه فروشندگان اینترنتی مسئول ایمنسازی وبسایت خودشان هستند اما هر مشتری میتواند برای حفاظت از خودش اقدامات زیر را انجام دهد:
- خودداری از وارد کردن اطلاعات شخصی در وبسایتهایی که به آنها اطمینان ندارند؛
- استفاده از سرویسی مثل privacy.com برای تولید شماره کارتهای یک بار مصرف؛
- بررسی لینک وبسایت جهت اطمینان از اینکه وارد وبسایت جعلی مشابهی که توسط مهاجمان طراحی گردیده، نشده باشند؛
- استفاده از افزونههای مرورگر برای پیشگیری از بارگذاری جاوااسکریپت از وبسایتهای غیرمطمئن. این اقدام منجر به به کاهش سطح حمله میشود. دقت کنید که چنین تکنیکی قادر به حفاظت در برابر کدهای مخرب تزریق شده در وبسایتهای مورد اطمینان نیست؛
- مسدود کردن قابلیت اتصال به دامنهها و آیپیهای متعلق به مهاجمان. مدیران شبکهها میتوانند این قابلیت را بر روی دستگاههای سازمانی یا مدیریت شده خودشان فعال کنند.
برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.
منبع: imperva