TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

グローバルMagecart キャンペーンが6つのカードネットワークを標的

セキュリティ研究者らは、2022年以来検出されていなかった大規模なデジタルスキミングキャンペーンについて警告を発しました。

Silent Pushによると、このキャンペーンは少なくとも6つの大手決済ネットワークプロバイダーを標的とするスクリプトを使用しています:American Express、Diners Club、Discover、JCB、Mastercard、UnionPayです。これらは世界中のクレジットカード決済の大多数を占めているため、ローカルで発行されたカードのほとんどが危険にさらされていると同社は述べています。

Magecart」として一般的に知られるこれらの攻撃は、通常、悪質なJavaScriptがeコマースウェブサイトまたは決済ポータルにこっそり注入されることを含みます。

被害者が支払いに来ると、チェックアウト中に支払い、名前、住所、配送詳細を傍受します。その後、脅迫者はこれらの詳細を自分たちで身元詐欺と支払い詐欺に使用するか、ダークウェブで販売することができます。

重要なことに、攻撃はクライアント側で動作するため、コードは被害者のブラウザで実行され、サイト所有者および最終ユーザーの被害者にはほぼ見えません。

Magecartについて詳しく読む:4000以上の英国小売業者がMagecart攻撃に侵害される

Silent Pushは、防弾ホスターおよび欧州制裁対象企業PQ.Hosting/Stark Industries(別称THE.Hosting/WorkTitans B.V)にリンクされた疑わしいドメインを分析した後、このキャンペーンを発見したと述べました。

さらに調査を進めると、そのドメインは高度に難読化されたスクリプト(cdn-cookie[.]com/recorder.jsなど)をロードするいくつかのURLをホストしていることが判明しました。

「スクリプトおよび関連ドメインのさらなる分析により、より広い図が明らかになりました:2022年頃にさかのぼるいくつかの継続的な感染を伴う長期的なウェブスキミングキャンペーン」とSilent Pushは述べました。

攻撃は古典的なMagecartパターンに従います:

  1. 脅迫者はeコマースサイト/決済ポータルを侵害し、悪質なJavaScriptを追加します
  2. 被害者が支払いに行くときにコードが起動します
  3. スキマーはチェックアウトページが完全にロードされたことを確認します
  4. スキミングコードは、関連するブランドとスタイルが完成した偽の支払いフォームをレンダリングする悪質なiframeを作成し、実際のフォームを置き換えます
  5. 被害者が詳細を入力すると、攻撃者に転送されます。偽のフォームは消え、元のフォームが復元されます

「被害者は実際のStripe支払いフォームではなく偽のフォームにクレジットカード詳細を入力したため、スキマーが最初に入力したときに非表示にされていた元のフォームが表示されると、支払いページにエラーが表示されます。これにより、被害者が支払い詳細を誤って入力したように見えます」とSilent Pushは説明しました。

「ほとんどの場合、オンライン買い物客は自分たちが被害を受けたばかりであることに気づきません。代わりに、彼らは間違いを犯したと思い、認証情報を再入力して通常どおり進みます。2番目の支払い試行は、元の無害な支払いフォームと相互作用するため、正常に処理されます。」

ウェブスキミング攻撃から身を守る方法

Silent Pushはベンダーに対し、このようなMagecartキャンペーンからの脅威を軽減するために、以下の防御措置を講じることを促しました:

  • JavaScriptなどの外部リソースのロードを制限し、悪質なコード注入のリスクを軽減するコンテンツセキュリティポリシー(CSP)を実装します
  • PCI DSS要件に従い、カード保有者データのセキュアな保存、処理、送信を確保します
  • コンテンツ管理システム、プラグイン、その他のソフトウェアを定期的に更新して、攻撃面を最小化します
  • 強い一意の認証情報と多要素認証(MFA)を含む管理者アカウントに対して強力なアクセス制御を適用し、不正アクセスを防止します
  • ブラウザのシークレット/プライベートモードを使用するか、ブラウザキャッシュと履歴をクリアした後、定期的にウェブサイトをテストします。これは、多くのウェブ注入ベースの脅威が検出メカニズムを使用してクッキーを通じて管理ユーザーを識別し、その存在下での悪質なコードの実行を意図的に回避しているためです

ベンダーはまた、エンドユーザーに対し、信頼できるプラットフォームでのみショッピングをし、既知の悪質なドメインとスクリプトをブロックするブラウザ/エンドポイントセキュリティソリューションを使用し、チェックアウト異常に警戒することを促しました。

また、銀行/カード明細書を定期的に確認して、疑わしいトランザクションを速やかに特定することも追加されました。

翻訳元: https://www.infosecurity-magazine.com/news/global-magecart-campaign-six-card/

ソース: infosecurity-magazine.com
#Credit Card #Cybersecurity #Digital Theft #e-commerce security #JavaScript Injection #Magecart #malicious code #payment card fraud #Payment Networks #Web Skimming

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新