Προσοχή στις φόρμες πληρωμών: Η μοντέρνα εμφάνιση μπορεί να ξεγελάσει

Διαβάστε γιατί οι ειδικοί ανησυχούν για την εξαπάτηση μέσω ψεύτικων φορμών πληρωμών και την υποκλοπή ευαίσθητων δεδομένων από ανυποψίαστους χρήστες.

Μια συνεχιζόμενη εκστρατεία Magecart έχει προσελκύσει την προσοχή των ερευνητών στον τομέα της κυβερνοασφάλειας για την εξαπάτηση μέσω ψεύτικων φορμών πληρωμών και την υποκλοπή ευαίσθητων δεδομένων από ανυποψίαστους χρήστες.

«Ο χάκερ χρησιμοποίησε αυθεντικά λογότυπα από το παραβιασμένο διαδικτυακό κατάστημα και προσάρμοσε ένα στοιχείο ιστού γνωστό ως modal για να αλλάξει ύπουλα τη σελίδα ολοκλήρωσης αγοράς», δήλωσε ο Jérôme Segura, διευθυντής ανάλυσης απειλών στη Malwarebytes. “Το αξιοσημείωτο εδώ είναι ότι το κομμάτι της απάτης φαίνεται πιο αυθεντικό από την αρχική σελίδα πληρωμής.”

Ο όρος Magecart είναι μία γενική έννοια που αναφέρεται σε πολλές μορφές απάτης στον κυβερνοχώρο που χρησιμοποιούν διαδικτυακές τεχνικές ξαφρίσματος για την κλοπή προσωπικών δεδομένων από ιστότοπους – συνηθέστερα, στοιχεία πελατών και πληροφορίες πληρωμής σε ιστότοπους ηλεκτρονικού εμπορίου.

Το όνομα προέρχεται από την αρχική στόχευση των χάκερ που χρησιμοποιούσαν αυτές τις τεχνικές προς το Magento. Σύμφωνα με στοιχεία που κοινοποίησε η Sansec, οι πρώτες επιθέσεις τύπου Magecart παρατηρήθηκαν ήδη από το 2010. Από το 2022, περισσότερα από 70.000 ηλεκτρονικά καταστήματα εκτιμάται ότι είχαν παραβιαστεί και ενσωμάτωναν μια μέθοδο διαδικτυακού ξαφρίσματος, ή αλλιώς διαδικτυακής οικονομικής απάτης.

Το ψεύτικο modal/pop up – Πηγή: https://www.malwarebytes.com/blog/threat-intelligence/2023/04/kritec-art

Αυτές οι επιθέσεις διαδικτυακού ξαφρίσματος, που ονομάζονται επίσης και formjacking από το γεγονός ότι γίνονται μέσα από τις φόρμες πληρωμών, αξιοποιούν παραδοσιακά διάφορες μεθόδους εκμετάλλευσης του JavaScript για να υποκλέψουν ευαίσθητες πληροφορίες από τους χρήστες του ιστότοπου.

Σχόλιο Olet

Πρόκειται για μία πάρα πολλή επικίνδυνη μέθοδο εξαπάτησης που μπορεί να μπερδέψει ακόμα και τους ειδικούς.

Η τελευταία απόπειρα εξαπάτησης, όπως παρατηρήθηκε από τη Malwarebytes σε ένα ανώνυμο παριζιάνικο κατάστημα ταξιδιωτικών αξεσουάρ που λειτουργεί σε PrestaShop CMS. Η απόπειρα εξαπάτησης περιελάμβανε την έγχυση (injection) ενός skimmer (στα Ελληνικά εξαφριστήρι) που ονομάζεται Kritec με σκοπό παρεμποδίσει τη ολοκλήρωση της αγοράς και να εμφανίσει ένα ψεύτικο παράθυρο εισαγωγής στοιχείων πληρωμής στα θύματα.

Το πραγματικό modal/pop up – Πηγή: https://www.malwarebytes.com/blog/threat-intelligence/2023/04/kritec-art

Το Kritec, με το οποίο ασχολήθηκαν πρόσφατα και η Akamai και η Malwarebytes, φαίνεται ότι υποδύεται συστήματα τρίτων, όπως ο Διαχειριστής ετικετών Google, προκειμένου να αποφύγει τον εντοπισμό.

Η εταιρεία κυβερνοασφάλειας είπε ότι το skimmer είναι τόσο περίπλοκο και πολύ ασαφές. Το κακόβουλο modal φαίνεται ότι φορτώνεται κατά την επιλογή της πιστωτικής κάρτας ως τρόπο πληρωμής από τον παραβιασμένο ιστότοπο.

Μόλις συλλεχθούν τα στοιχεία της κάρτας πληρωμής, εμφανίζεται για λίγο ένα ψεύτικο μήνυμα σφάλματος σχετικά με την ακύρωση της πληρωμής στο θύμα πριν ανακατευθυνθεί στην πραγματική σελίδα πληρωμής, οπότε και θα πραγματοποιηθεί η πληρωμή.

Σχόλιο Olet

Σε αυτό το σημείο όμως, η ζημιά έχει ήδη γίνει και ο χάκερ έχει ήδη πάρει τα στοιχεία της κάρτας.
Πηγή: https://www.malwarebytes.com/blog/threat-intelligence/2023/04/kritec-art

“Το skimmer θα ρίξει ένα cookie το οποίο θα χρησιμεύσει ως ένδειξη ότι η τρέχουσα συνεδρία έχει πλέον επισημανθεί ως ολοκληρωμένη”, εξήγησε ο Segura. “Εάν ο χρήστης επέστρεφε πίσω και επιχειρούσε ξανά την πληρωμή, το κακόβουλο modal δεν θα εμφανιζόταν πλέον.”

Οι χακερ πίσω από την εκστρατεία φαίνεται ότι χρησιμοποιούν διαφορετικά domains για να φιλοξενήσουν το skimmer, στα οποίους δίνονται παρόμοια ονόματα: “[name of store]-loader.js”, γεγονός που υποδηλώνει ότι οι επιθέσεις στοχεύουν διαφορετικά ηλεκτρονικά καταστήματα με προσαρμοσμένα modals.

Σχόλιο Olet

Επομένως παρατηρούμε ότι υπάρχει στόχευση σε συγκεκριμένους ιστότοπους, προφανώς με μεγάλη επισκεψιμότητα. Επιπλέον παρατηρούμε ότι οι IP διευθύνσεις που φαίνονται παρακάτω έχουν ως hostname Ρώσικα domains ενώ παράλληλα συνδέονται με TLDs που είναι χαμηλού κόστους και χαμηλής ποιότητας.
Screenshot από Olet για https://blog.konet.gr , Πηγή: https://www.malwarebytes.com/blog/threat-intelligence/2023/04/kritec-art

“Το να διακρίνει κανείς εάν ένα ηλεκτρονικό κατάστημα είναι αξιόπιστο έχει γίνει πολύ δύσκολο και αυτή η περίπτωση είναι ένα καλό παράδειγμα skimmer που δεν θα δημιουργούσε καμία υποψία”, είπε ο Segura.

Τα ευρήματα έρχονται λίγο περισσότερο από δύο μήνες αφότου η Malwarebytes ανακάλυψε ένα άλλο web skimmer που συλλέγει τα δεδομένα του προγράμματος περιήγησης, όπως διευθύνσεις IP και User-Agent strings, μαζί με πληροφορίες πιστωτικών καρτών, πιθανόν σε μια προσπάθεια παρακολούθησης μη έγκυρων χρηστών, όπως bots και ερευνητές ασφαλείας.

Πηγή του παραπάνω: https://thehackernews.com/2023/04/attention-online-shoppers-dont-be.html

Υπάρχει μέθοδος αντιμετώπισης ή αποφυγής των Magecart;

Αυτή είναι μία πολύ καλή και δύσκολη ερώτηση. Για να απαντήσουμε θα πρέπει να δούμε τι δεδομένα έχουμε.

Τα δεδομένα για το Magecart

Όπως αντιλαμβάνεσαι, τα Magecart είναι scipts που δημιουργούν ψεύτικα modal για να υποκαταστήσουν τα πραγματικά modal που σου ζητούν να εισάγεις τα στοιχεία της κάρτας σου. Είναι σύνθετα και πολύπλοκα και με αυτά ασχολούνται εταιρείες κολοσσοί όπως η Akamai και η Malwarebytes.

Επίσης, τα Magecart δεν είναι καινούργια. Υπάρχουν από το 2010 και υπολογίζεται ότι έχουν μολύνει κάποιες δεκάδες χιλιάδες ιστοσελίδες.

Επιπλέον, όπως αναφέρθηκε, το κάθε Magecart script δημιουργεί ένα προσαρμοσμένο modal και όχι κάποιο πανομοιότυπο, για να γίνεται πιο δύσκολα εντοπίσιμο.

Και, στο άρθρο της η Akamai, αναφέρει ότι διαθέτει μία υπηρεσία που λέγεται “Page Integrity Manager” μέσω της οποίας μπορεί να εντοπίζει παρόμοιες απειλές. Στη σελίδα όμως της υπηρεσίας δεν υπάρχει τιμή για να δούμε ένα ενδεικτικό κόστος. Γνωρίζουμε όμως ότι η Akamai απευθύνεται μόνο σε πολύ μεγάλες επιχειρήσεις και οργανισμούς.

Τα συμπεράσματα για το Magecart

Από το γεγονός ότι το Magecart απασχολεί εταιρείες κολοσσούς στον χώρο της κυβερνοασφάλειας καταλαβαίνουμε ότι πρόκειται για κάτι μεγάλο και δύσκολο στην αντιμετώπιση.

Από όσα είμαστε σε θέση να αντιληφθούμε από τις πληροφορίες που μας παρέχουν αυτές οι εταιρείες, τα Magecart είναι εξαιρετικά δύσκολο να εντοπιστούν από μη ειδικούς στον τομέα της κυβερνοασφάλειας. Αυτό συνεπάγεται ότι οι χάκερ που τα χρησιμοποιούν γνωρίζουν καλά το κομμάτι τους και πως να ξεγελάσουν τα συστήματα ασφαλείας που, είτε μικρά είτε μεγάλα, υπάρχουν πάντα.

Ταυτόχρονα, είναι πολύ εξελιγμένα και παράλληλα αναπτύσσονται εδώ και πολλά χρόνια. Επομένως θα πρέπει να είμαστε βέβαιοι ότι πίσω από τέτοιες προσπάθειες εξαπάτησεις δεν βρίσκονται μεμονωμένοι χάκερ αλλά ομάδες περισσότερων ατόμων. Συνήθως σε τέτοιες περιπτώσεις μιλάμε για ομάδες των 3 με 5 ατόμων, αν κρίνουμε από τις περιπτώσεις σύλληψης χακερ.

Βλέπουμε συνάμα ότι οι χάκερ δημιουργούν προσαρμοσμένα modal. Άρα οι επιθέσεις είναι στοχευμένες και όχι γενικευμένες. Πλέον, τις γενικευμένες επιθέσεις συνήθως αναλαμβάνουν να τις κάνουν bots. Αφού ο χάκερ κάνει στοχευμένες επιθέσεις αναμένουμε ότι θα στοχεύει ιστοσελίδες με μεγάλη κίνηση και μεγάλους τζίρους ώστε να αποκομίσει περισσότερα κέρδη.

Προφανώς κανένας χάκερ δεν θα ασχοληθεί με στόχους μικρής αξίας ή μικρής σημασίας όταν μπορεί να στοχεύσει μεγάλους στόχους. Αυτός ο τρόπος επίθεσης με άλλα λόγια δεν απειλεί τις μικρότερες ιστοσελίδες αλλά τις μεγαλύτερες. Ένα σημείο που συνηγορεί σε αυτό το συμπέρασμα είναι το γεγονός ότι η Akamai δεν αναφέρει το κόστος της υπηρεσίας αποφυγής της απειλής. Μόνο μεγάλες ιστοσελίδες θα μπορούσαν να συνεργαστούν με την Akamai ή την Malwarebytes σε αυτό το ζήτημα.

Άρα, υπάρχουν τρόποι αντιμετώπισης ή αποφυγής;

Τρόποι αντιμετώπισης υπάρχουν. Ένας βασικός είναι η πρόληψη που περιλαμβάνει την χρήση συστημάτων πρόληψης και κανόνων ασφαλείας που θα αποτρέψουν τον χάκερ να πάρει πρόσβαση σε έναν ιστότοπο.

Ένας άλλος τρόπος είναι η χρήση εξελιγμένων συστημάτων κυβερνοασφάλειας από εταιρείες του κλάδου. Υπάρχουν πολλές άλλες εταιρείες πέρα από την Akamai και την Malwarebytes που δραστηριοποιούνται στο χώρο με την κάθεμια να έχει δημιουργήσει το δικό της προϊόν που θα μπορούσε να βοηθήσει στην περίσταση.

Η αποφυγή είναι ένα δύσκολο κομμάτι. Μόνο ένας απόλυτα πεπειραμένος τεχνικός κυβερνοασφαλείας θα μπορούσε να αντιληφθεί το Magecart skimmer. Είναι πολύ μικρές οι πιθανότητες ένας μέσος χρήστης να αντιλαμβανόταν ότι κάτι πάει στραβά.

Μία λύση θα ήταν να πληρώνετε με άλλες μεθόδους πληρωμής, όπως η Paypal, για να αποφεύγετε να δίνετε σε κάθε eshop τα στοιχεία της κάρτας σας.

Σχόλιο Olet – Παρένθεση

Αρκετά eshops αποθηκεύουν τα στοιχεία της κάρτας σας στο δικό τους “ασφαλή” server. Έχεις σκεφτεί τι θα γίνει αν χακάρουν το eshop στο οποίο δίνεις τα σημαντικά αυτά στοιχεία; Πάντα να προτιμάς την πιο ασφαλή μέθοδο πληρωμής και όχι την πιο βολική.

Όμως, η Paypal ή παρόμοιες μέθοδοι πληρωμής δεν είναι πάντα διαθέσιμες αλλά ούτε είναι και η τέλεια λύση. Σε αυτήν την περίπτωση το μόνο που μένει να κάνεις είναι να έχεις κάποια 2FA (Two Factor Authentication) μέθοδο ενεργοποιημένη, αν υπάρχει διαθέσιμη, για τις πληρωμές με την κάρτα σου ώστε να αποτρέψεις τις μη εγκεκριμένες αγορές ακόμα και αν κλαπούν τα στοιχεία της.

Αν δεν υπάρχει 2FA μέθοδο, μένεις με την ελπίδα ότι κάτι δεν θα πάει στραβά.

Σχόλιο Olet – Παρένθεση

Με την περίπτωση του Magecart μπορείς να καταλάβεις ότι το επιχείρημα ότι “οι διαδικτυακές συναλλαγές είναι ασφαλής” είναι τελείως αβάσιμο και καταρρίπτεται καθημερινά. Οι διαδικτυακές συναλλαγές είναι ασφαλείς μέχρι ένα σημείο. Το ηλεκτρονικό χρήμα ΠΟΤΕ δεν θα είναι απόλυτα ασφαλές και ΠΑΝΤΑ θα είναι πιο ανασφαλές από το χειροπιαστό χρήμα.
CC BY-SA

Προσοχή στις φόρμες πληρωμών: Η μοντέρνα εμφάνιση μπορεί να ξεγελάσει is licensed under a Creative Commons Attribution-ShareAlike 4.0 International license. Πηγή: https://blog.konet.gr/prosoxi-stis-formes-pliromon/ , Δημιουργός: Konet.gr

Σχολιάστε

Creative Commons License
Except where otherwise noted, Blog.konet.gr by Konet.gr is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.
Χρησιμοποίησε το περιεχόμενο των άρθρων ελεύθερα εφόσον δίνεις αναφορά στην πηγή και στον δημιουργό τους.