Billede: iStock
×
javascriptistock.jpg
Cyberkriminelle grupper engagere sig i JavaScript kort at snuse til angreb –også kaldet Magecart angreb– har langsomt spredt deres aktiviteter til at målrette yderligere platforme udover Magento-baseret butikker de oprindeligt gik efter, når disse typer af angreb i gang, i 2015-2016.
I dag, ny forskning viser, at alle online shopping platforme er i mål og har brug for at blive overvåget mod mulige kompromiser af deres checkout proces, som hackere kan forsøge at logge af og stjæle betalings-kort data, der indtastes i kassen og betaling former.
For eksempel, en rapport, der blev offentliggjort i dag af threat intelligence firmaet RiskIQ detaljer løbende Magecart angreb mod OpenCart og OSCommerce steder, to mindre kendte online butik løsninger.
“Læsning gennem OpenCart samt OsCommerce fora, kan vi finde flere tilfælde, hvor administratorer, der var i stand til at finde ud af, at de blev ødelagt,” siger virksomheden.
×
opencart-hacks.png
Disse infektioner viste sig at være koordineret angreb udført af hvad RiskIQ er tracking, som Magecart Gruppe 12, som er specifikt målrettet OpenCart platform.
Men andre platforme, er også blevet rettet. En rapport fra Group-IB, som i sidste måned også fremhævet, at de igangværende angreb mod Shopify og (WordPress) WooCommerce-baserede butikker så godt.
Sangvinsk Security Willem de Groot også beskrevet Magecart angreb specifikt rettet mod WooCommerce platforme i August sidste år, i et interview med ThreatPost.
Fra Magento til …alt andet
Som det bliver mere og mere indlysende, JavaScript sniffere, der engang blev betragtet som en trussel for Magento, og er nu en fare for alle online butik platforme, kan være self-hosted løsninger-eller cloud-baserede kommercielle SaaS-platforme.
“Organisationer er nødt til at forstå, at visse grupper kan bytte på alle web-miljø, og vi ser hver online shopping platform målrettet i vores telemetri data,” Yonathan Klijnsma, RiskIQ Trussel Forsker, sagde i en rapport frigivet i dag.
Og det hele giver mening. JavaScript kort snuse henvises til ilægning af et skadeligt script på sider, der beskæftiger sig med kassen operationer, med det ondsindede script hemmeligt at optage en brugers betalingskort oplysninger og sende data til en ekstern server.
De første grupper, som er involveret i disse typer af angreb, som anvendes sårbarheder i Magento e-handel platform, fordi på det tidspunkt, Magento er den mest udbredte løsning, og et perfekt angreb overflade.
Men i dag er e-handel butik scene er en meget mere varieret, med mange andre e-handels-platforme til rådighed for interesserede butik ejere.
Billede via BuiltWith
×
e-handel-butik-markedet.png
Desuden er antallet af Magecart hacking grupper er også steget, skubbe konkurrerende bander til andre platforme i jagten på nye ofre.
JavaScript kort sniffere blive teknologi agnostiker
Mens RiskIQ rapport udgivet i dag fremhæver en række angreb mod OpenCart-baserede butikker, Magecart grupper ikke kan se sig selv som begrænset til kun Magento, WooCommerce, OpenCart, eller OSCommerce platforme.
Disse grupper vil udnytte de sårbarheder, de kan og vil hacke ind i ethvert websted, der kører en checkout-siden. De seneste JavaScript kort sniffer scripts opdaget af RiskIQ, Group-IB, og andre virksomheder, ser ud til at være designet til at være teknologi agnostiker, og i løbet af de seneste par måneder, er de blevet udvidet til at omfatte støtte til at stjæle data fra en stadig bredere vifte af kassen side formater og betaling gateways.
Bare tidligere i denne uge, Sangvinsk Sikkerhed opdagede en af disse multi-funktionelle scripts, der havde været kodet til at indsamle data fra 57 forskellige betalingssystemer, der viser, hvordan JavaScript kort sniffer scene har udviklet sig fra en fortid, hvor der var fokus på den smalle internet stribe af Magento butikker, til en nuværende stat, hvor enhver online butik, uanset den underliggende teknologi eller betalings-gateway, kan blive angrebet.
Som RiskIQ nævnt i en rapport sidste år, og disse grupper er ikke bare udnytte Magento sårbarheder længere. Nogle af dem, såsom trussel aktører, der spores som Magecart gruppen #4, #5, #6 og #12, har udviklet sig fra at være rettet mod de gemmer sig, til at målrette deres supply-chains (widgets, plugins, eller analytics-udbydere, der bruges af stormagasiner).
Kommercielle cloud-baserede platforme er også i fare
Den seneste tendens til at fokusere på at gå på kompromis supply-chain leverandører også gør det muligt for disse grupper at inficere en bred vifte af platforme, lige fra self-hosted butikker til cloud-baserede platforme som dem, der leveres af Magento, Shopify, Wix, Squarespace, X-Cart, OpenCart og et væld af andre kommercielt sælges online butik løsninger.
Sidste efterår, når Magecart var varmt emne, der er på alles læber i infosec fællesskab, ZDNet nået ud til flere udbydere af cloud-baserede online-butik systemer og spurgte, om de sikkerhedssystemer, der er indført for at forhindre, at JavaScript kort sniffere inficerer deres flåde af online butikker og stjæle kunders data.
Af de syv platforme, vi er nået ud til at, kun to svarede, –nemlig BigCommerce og Shopify.
Af de to, Shopify havde nok den bedste sikkerhedsforanstaltning i sted, som den platform, der ikke tillader “tilpasninger af kreditkort indsamling og behandling af sådanne inddragelse af tredjepart JavaScript.”
Det betyder, at hverken brugere eller angribere kan rode med Shopify er betalingskort indtastning og behandling af scripts på nogen måde, medmindre de kompromitterede Shopify selv.
På samme måde, BigCommerce også udsender en række af cyber-sikkerhed beskyttelse “, herunder omkreds og server-specifikke firewalls, web application firewalls, fil integritet skærme, intrusion detection systemer, webstedets HTTPS, 24/7 menneskelig kontrol og rutine penetration test udført af PCI-certified information security service providers,” Scott Baker, vice president for IT, sikkerhed og tekniske operationer på BigCommerce, fortalte ZDNet sidste år i en to-siders dokument, der beskriver virksomhedens sikkerhed praksis.
“Selvom BigCommerce Api’ er giver programmæssige ændringer til de scripts, der er opført på en BigCommerce butik, kassen side – hvor disse Api ‘ er er mest almindeligt i brug – inkluderer ekstra beskyttelse, som kræver yderligere anvendelsesområder. Disse områder kan kun være opført i vores markedsplads af PCI-compliant virksomheder, og skal søges ved den tredje part ansøgningen ved installation. Desuden, BigCommerce kræver, at en udtrykkelig aftale være indgået før den handlende kan manuelt ændre deres checkout scripts,” Baker også tilføjet.
Virksomheder som Wix, OpenCart Cloud, Magento, og X-Cart ikke returnere en anmodning om kommentarer. Squarespace ikke ønsker at kommentere.
JS skumme overskuddet på niveau med ATM skimming
Med prisen betalingskort oplysninger indhentet fra online-butikker er, udligning med dem, der opnås fra ATM-skimming, angreb på online-butikker forventes at gå på, og endda vokse i intensitet.
Priser for CP (Kort til Stede) og CNP (Kortet Ikke er til Stede) – kort data. Kort data fra online-butikker passer i CNP kategori.
Billede: Gemini Rådgivende, via KrebsOnSecurity
×
cp-cnp.jpg
Desuden RiskIQ ser også Magecart grupper udvide operationer fra JS card skimming til indsamling af supplerende oplysninger, såsom login-oplysninger, som kan sælges online, som en sekundær indtægtskilde.
“Skimming angreb på enhver platform, der er et kritisk problem, fordi mens betaling af data er der i øjeblikket fokus, vi allerede ser bevæger sig til at skimme login-oplysninger og andre følsomme oplysninger,” RiskIQ er Klijnsma også tilføjet.
“Dette udvider omfanget af potentielle Magecart ofre langt mere end e-handel alene,” siger eksperten, ved at tillade Magecart grupper til at weaponize og tjene penge på JS snuse kode, der ved et uheld og uforvarende lander på hjemmesider, der ikke indeholder en shopping oplevelse, til at begynde med.
Mere cybersecurity dækning:
Sikkerhedsekspert skaber nye bagdør inspireret af lækket NSA malwareOnly seks TSA medarbejdere er at føre tilsyn med AMERIKANSKE olie&gas pipeline security60 procent af virksomhedens codebases indeholder open source vulnerabilitiesMysterious hacker har været at sælge Windows 0-dage til APT grupper for tre yearsAn inde at se på, hvordan credential fyld operationer workDark web kriminalitet markeder ramt af tilbagevendende DDoS-angreb
Opdagede sårbarheder i industrielle udstyr steget 30% i 2018 TechRepublicAmazon arbejdstagere aflytte dine samtaler med Alexa CNET
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre