خدمات اسکیمینگ کارت اعتباری، ورود مجرمان سایبری سطح پایین را به بازی آسان می کند

اسکیمینگ کارت اعتباری برای مجرمان سایبری بسیار ساده تر شد و اکنون می توانند خدمات اسکیمینگ آماده را به صورت آنلاین خریداری کنند. در مورد این تهدید و نحوه شناسایی آن در سایت های تجاری بیشتر بخوانید.

اسکیمینگ کارت اعتباری چیست؟

اسکیمینگ کارت اعتباری تکنیکی است که شامل استفاده از کدهای مخرب نصب شده در وب سایت های تجاری در معرض خطر برای سرقت اطلاعات کارت اعتباری ارسال شده توسط مشتریان وب سایت هنگام تکمیل پرداخت های آنلاین است.

برای استقرار موفقیت آمیز آن، چند مرحله فنی باید انجام شود. ابتدا، مهاجم باید یک وب سایت تجاری را پیدا کند که در برابر تکنیک های مختلف حمله آسیب پذیر است و سپس آن را به خطر بیاندازد. هنگامی که مهاجم به محتوای وب سایت دسترسی پیدا کرد، باید کد مخربی را اضافه کند تا اطلاعات کارت اعتباری ارائه شده توسط مشتریان ناآگاه را بدزدد.

اکثر اسکیمرها از جاوا اسکریپت استفاده می کنند و کد اضافه شده آنها بی سر و صدا در وسط کد قانونی وب سایت قرار دارد و صبورانه منتظر اطلاعات کارت اعتباری است. سپس اطلاعات به صورت محلی در مکانی که تنها برای مهاجم شناخته شده است ذخیره می شود تا بتوان آنها را جمع آوری کرد

کفگیر به عنوان یک سرویس: با CaramelCorp آشنا شوید

امروزه مجرمان سایبری تقریباً هر نوع خدماتی را که فکرش را بکنید می فروشند. این همان جایی است که سرویس اسکیمینگ کارت اعتباری CaramelCorp در روسیه وارد عمل می شود، همانطور که توسط گزارش شده است DomainTools.

بازیگر تهدید حضور قابل توجهی در انجمن جرایم سایبری دارد، مشتریان احتمالی را با دقت بررسی می کند و با غیر روسی زبانان تجارت نمی کند. آنها همچنین از فروش خدمات خود به کارتداران بی تجربه خودداری می کنند.

برای افرادی که می‌توانند با CaramelCorp سروکار داشته باشند، اشتراک مادام‌العمر خدمات آنها 2000 دلار آمریکا است.

دیدن: نقض رمز عبور: چرا فرهنگ پاپ و رمزهای عبور با هم ترکیب نمی شوند (PDF رایگان) (TechRepublic)

نحوه عملکرد سرویس اسکیمینگ

گسترش

به گفته DomainTools، CaramelCorp تضمین می‌کند، اگرچه این تضمین تأیید نشده است، اما می‌تواند برخی از خدمات امنیت سایبری از Akamai، CloudFlare و Incapsula را دور بزند.

این سرویس دروازه‌هایی را ارائه می‌کند که به راحتی قابل استقرار هستند تا داده‌های کم‌کم‌شده را دریافت کرده و قابلیت‌هایی برای نظارت بر آن‌ها برای زمان خرابی داشته باشند. یک راهنمای شروع سریع در مورد روش های جاوا اسکریپت برای هدف قرار دادن چندین سیستم مدیریت محتوای تجاری نیز ارائه شده است.

مجموعه

اسکیمر کارامل از متد setInterval() استفاده می کند که در اکثر اسکیمرهای کارت اعتباری رایج است. این روش استخراج داده ها را حتی برای فیلدهای فرم نیمه تکمیل شده در وب سایت در معرض خطر تضمین می کند.

این برای مجرمان سایبری مفید است، زیرا حتی اهدافی که تصمیم می‌گیرند کالایی را در طی فرآیند پرداخت خریداری نکنند، همچنان بخشی از داده‌های پرداخت خود را به مهاجمان درز می‌کنند.

CaramelCorp همچنین اشاره می‌کند که اسکیمرهای آن‌ها می‌توانند با استفاده از انواع فایل‌ها برای کمک به فرار از شناسایی مستقر شوند.

مدیریت

یک پنل مدیریتی امکان نظارت و مدیریت بازرگانان آنلاین در معرض خطر را فراهم می کند. ردیابی عملکرد نیز می تواند انجام شود.

پانل مدیریت بر روی به حداقل رساندن سطح حمله با حذف کدهای غیر ضروری تمرکز می کند. یک پانل ورود به سیستم دسترسی به مجرمان سایبری را که سرویس را خریداری کرده اند (شکل A).

شکل A

اقدامات ضد تشخیص

جاوا اسکریپت مورد استفاده اسکیمر توسط اکثر اسکنرها مبهم و شناسایی نشده است. برای دستیابی به این هدف، CaramelCorp نرم افزاری به نام JavaScript Obfuscator Tool را توصیه می کند که در حال حاضر در جامعه مجرمان سایبری محبوب است.

نشت اطلاعات از CaramelCorp

DomainTools با یافتن و دسترسی به دایرکتوری های باز حاوی چندین عنصر، مانند بخش هایی از کد جاوا اسکریپت، فایل های نقشه منبع و راهنمای شروع سریع CaramelCorp، به داده های ذخیره شده در سرور CaramelCorp دسترسی پیدا کرد.

محققان دریافتند که CaramelCorp روش بسیار ساده ای را برای استقرار توصیه می کند: دسترسی به پنل مدیریت CMS از یک وب سایت در معرض خطر و افزودن دستی یک اسکریپت ساده (شکل B).

شکل B

DomainTools به مقدار قابل توجهی از متن روسی رمزگذاری شده در نقشه منبع و فایل های جاوا اسکریپت کشف شده اشاره کرد. ترجمه این متون راهنمای نحوه استقرار کفگیر کارامل را نشان داد.

کلاهبرداران شامل هشدارهایی در مورد رفتارهایی بودند که باید در هنگام استقرار از آنها اجتناب کرد و همچنین توصیه هایی در مورد مکان به دست آوردن نام دامنه، گواهینامه های SSL و سرورهای VPS برای اجرای زیرساخت skimming را ارائه کردند.

چگونه تهدید را تشخیص دهیم

در حالی که تشخیص تهدید بسیار دشوار است، غیرممکن نیست.

بررسی یکپارچگی محتوای وب دائمی باید انجام شود. راه‌حل‌های امنیتی فیلتر محتوا و نظارت بر فایل‌ها باید به منظور شناسایی هرگونه تغییر فایل ثابت، به‌ویژه برای فایل‌های حاوی کد مانند فایل‌های JS، PHP. و ASPX. به کار گرفته شوند. توصیه می‌شود که وب‌سایت‌ها همه فایل‌های استاتیک را برای هر گونه نقضی که ممکن است رخ دهد نظارت کنند.

فایل‌های تازه ایجاد شده و فایل‌های اصلاح‌شده باید فوراً بررسی شوند، اگر ناشی از فرآیند قانونی در شرکت نباشد.

خود نرم افزار وب سرور باید همیشه وصله شده و به روز باشد تا از هرگونه خطر احتمالی اولیه از سوی مهاجمان جلوگیری شود.

همچنین ممکن است ایده خوبی باشد که هر فایلی را در وب سرور جستجو کنید که حاوی اطلاعات کارت اعتباری باشد، زیرا برخی از اسکیمرها قبل از ارسال آنها به کنترلر، داده های سرقت شده را به صورت محلی ذخیره می کنند. چنین تشخیصی از اطلاعات کارت اعتباری می تواند با استفاده از آن انجام شود یارا، مثلا.

در نهایت، تمام اقدامات امنیتی معمول برای محافظت از زیرساخت وب باید اعمال شود تا از به خطر افتادن وب سایت در وهله اول جلوگیری شود. احراز هویت در هر پنل یا بخش مدیر وب سایت باید تنها با استفاده از احراز هویت چند مرحله ای قابل دسترسی باشد و تمام اعتبارنامه های پیش فرض، در صورت وجود، باید حذف شوند. راه حل های امنیتی برای شناسایی بدافزارها و تهدیدات فایل نیز باید مستقر شوند.

افشای: من برای Trend Micro کار می کنم، اما نظرات بیان شده در این مقاله از من است.