امروزه نفوذ در منابع سایتهای خرید برای سرقت اطلاعات کارت پرداخت مشتریان، به یک پدیده جهانی تبدیل شده که بعید است به این زودیها زودی پایان یابد.
این حملات در مجموع با نام میج کارت (magecart) شناخته میشوند و در حال حاضر چندین گروه وجود دارند که برخی از آنها پیشرفتهتر از سایرین هستند.
دریافت کد در صفحه پرداخت با نقض مستقیم وبسایت یا با به خطر انداختن منبع وب از شخص دیگر صورت میگیرد که در صفحه، مانند یک اسکریپت تحلیلی یا ویجت پشتیبانی مشتری، بارگذاری شده است.
در گزارشی که امروز منتشر شد، RiskIQ خاطرنشان میکند که اولین تهدید میج کارت که مشاهده شده است، در 8 اوت 2010 بود. این پدیده تا سال گذشته دیگر رخ نداد، هرچند که بریتیش ایرویز، Ticketmaster ،OXO و Newegg مورد حمله آن قرار گرفته بودند.
از آن زمان، چندین حمله پدید آمد که دهها اسکریپت اطلاعات کارت را ایجاد کرده و هزاران وبسایت را آلوده کردهاند. تنها در یکی از این حملات خودکار، بیش از 960 فروشگاه به خطر افتادند.
RiskIQ تخمین میزند که تهدید میج کارت ممکن است میلیونها کاربر را تحت تأثیر قرار دهد. طبق اعلام این شرکت، حملات زنجیره تأمین بیشترین شاخهها در شناسایی میج کارت را به خود اختصاص داده است.
از بین تمام گروههای میج کارت که توسط محققان امنیتی ردیابی شدهاند، گروه 5 پرفروشترین و پیشرفتهترین آنها است. این گروه بر روی تأمین کنندگان شخص ثالث، مانند ارائه دهندگان تجزیه و تحلیل وبسایتهای SociaPlus و Inbenta، و جزئیات پرداخت از صدها وبسایت متمرکز هستند.
بسیاری از گروههای میج کارت که توسط RiskIQ شدهاند، هنوز بر روی پلتفرم خرید Magento تمرکز دارند، که هدف اصلی آنها از زمان تکثیر این حملات بود. OpenCart نیز به تازگی مورد توجه مهاجمین قرار گرفته است.
مهاجمان از نزدیک به توسعه این پلتفرمهای سبد خرید نظارت داشته و آسیبپذیریهای کشف شده در یکی از آنها معمولاً با افزایش سن قربانیان، دنبال میشود.
در حالی که جزئیات بالا به وضوح نشان میدهد که میج کارت چقدر شیوع پیدا کرده است، داستان کامل این پدیده بیان نمیشود، زیرا عاملان تهدید دائماً به دنبال راههای جدیدی برای توزیع اسکریپتهای وب هستند.
در مورد میانگین زمان حمله، باید گفت که کدهای آن به طور متوسط 22 روز زنده مانده است. دلیل این امر این است که بسیاری از قربانیان از بارگیری وبسایتشان توسط جاوا اسکریپت مخرب آگاهی ندارند.
عاملان جدید میج کارت به احتمال زیاد از زمان پخش میج کارت چنان گسترده ظاهر میشوند که زیرساختهای آن یک اتفاق عادی به نظر میآید. بخش عمدهای از آن توسط احزاب امنیتی مسئول اداره میشود.
از آنجا که بسیاری از اسکریپتهای میج کارت در وبسایتهای قربانی همچنان فعال هستند، عاملان مخرب دامنههای منتشر شده را خریداری کرده و فعالیت خود را از سر میگیرند.
در حال حاضر خاتمه دادن به این حوادث ممکن است یک تلاش واقع بینانه نباشد، اما راههایی برای کاهش دفعات مشاهده شده از آنها وجود دارد. تاجران میتوانند بررسی تمامیت منابع فرعی را از طریق خط مشی امنیت محتوا (CSP) امکان پذیر سازند، این کار باعث میشود که بارگذاری جاوا اسکریپت از یک لیست قابل اعتماد دامنهها صورت گرفته و بدین ترتیب دامنه مهاجمین مسدود میشود.
گزینه دیگر Subresource Integrity یا SRI است که با بررسی هش رمزنگاری شده برای منبع قانونی، از بارگیری کد جاوا اسکریپت اصلاح شده جلوگیری میکند.
کاربران، گزینههای اندکی برای ایمن ماندن از حملات میج کارت در پیش رو دارند. استفاده از افزونههای مرورگر که بارگیری جاوا اسکریپت را در مورد وبسایتهای غیر قابل اعتماد مسدود میکند، در این زمینه میتواند به شما کمک کند اما همیشه موثر نیست.
رویکرد فنی تری که دارای کاستیهای آشکار برای یک کاربر متوسط است، مسدود کردن اتصالات به دامنهها و آدرسهای IP است که توسط مهاجمان استفاده میشود.