研究者らは、American Express、Diners Club、Discover、Mastercardを含む複数の主要決済プロバイダーを標的とするMagecartキャンペーンを追跡してきました。
Magecartは、悪意のあるJavaScriptを用いてオンラインの決済ページから支払いデータを盗むことに特化した犯罪グループの総称で、ウェブスキミングとして知られる手法です。
初期の頃、MagecartはMagentoベースのウェブストアを狙う脅威アクターの緩やかな連合として始まりました。現在では、この名称は多くのeコマースプラットフォームに対するウェブスキミング作戦を指す、より広い意味で使われています。これらの攻撃では、犯罪者が正規の決済ページにJavaScriptを注入し、購入者が入力するカード情報や個人情報を取得します。
研究者らが説明したこのキャンペーンは、2022年初頭から活動しています。彼らは、広範な影響範囲を持つ長期的なクレジットカードスキミング作戦に関連する、膨大なドメインネットワークを発見しました。
「このキャンペーンは、少なくとも6つの主要決済ネットワークプロバイダー(American Express、Diners Club、Discover(Capital Oneの子会社)、JCB Co., Ltd.、Mastercard、UnionPay)を標的とするスクリプトを利用しています。これら決済プロバイダーの顧客である企業組織が、最も影響を受ける可能性が高いです。」
攻撃者は通常、サプライチェーン、サードパーティスクリプト、またはサイト自体の脆弱性を悪用して、eコマースサイトにウェブスキマーを仕込みます。このため、ウェブショップの運営者は、システムを最新の状態に保ち、コンテンツ管理システム(CMS)を監視することで警戒を怠らない必要があります。
ウェブスキマーは通常、JavaScriptを使って決済フローに組み込まれます。カード番号、有効期限、カード検証コード(CVC)、請求先または配送先の詳細を含むフォームフィールドを読み取り、そのデータを攻撃者に送信するよう設計されています。
検知を回避するため、JavaScriptは強く難読化されており、ページからスキマーを削除する自己破壊ルーチンを起動することさえあります。これにより、管理者セッションを通じて行われる調査では不審点がないように見える場合があります。
隠蔽のための他の手法に加えて、このキャンペーンは安定した環境のためにバレットプルーフホスティングを使用しています。バレットプルーフホスティングとは、苦情、削除要請、法執行機関の措置を意図的に無視することで、サイバー犯罪者を保護するよう設計されたウェブホスティングサービスを指します。
安全を保つ方法
Magecartキャンペーンは、顧客、加盟店、決済プロバイダーの3つのグループに影響します。ウェブスキマーはブラウザ内で動作するため、従来のサーバー側の不正対策の多くを回避できます。
購入者自身が侵害された決済ページを修復することはできませんが、被害に遭う可能性を減らし、不正を早期に発見できる可能性を高めることはできます。
ウェブスキマーのリスクに備えてできることをいくつか紹介します。
- オンライン購入にはバーチャルカードや使い捨てカードを使用することで、スキミングされたカード番号の有効期間と利用範囲を限定できます。
- 可能であれば取引アラート(SMS、メール、アプリのプッシュ通知)をカード利用に対して有効にし、明細を定期的に確認して、身に覚えのない請求を迅速に見つけられるようにします。
- 銀行やカードのポータルでは強力で一意のパスワードを使用することで、攻撃者が盗まれたカードデータから容易にアカウントの完全な乗っ取りへと移行できないようにします。
- ウェブ保護ソリューションを使用することで、悪意のあるドメインへの接続を避けます。
プロのヒント: Malwarebytes Browser Guardは無料で、既知の悪意のあるサイトやスクリプトをブロックします。
