برامج وتطبيقات

كاسبرسكي: أسلوب جديد لسرقة تفاصيل البطاقات المصرفية للمتسوقين عبر الإنترنت

اكتشف باحثون في كاسبرسكي أسلوبًا جديدًا لسرقة تفاصيل البطاقات المصرفية التي يستخدمها المتسوقون في مواقع التسوق الإلكتروني عبر الإنترنت.

واستطاع مجرمو الإنترنت استخدام هذا الأسلوب في نوع شائع من الهجمات يُعرف باسم “التزويرالمالي للويب”. ونجح مجرمو الإنترنت في جمع تفاصيل بطاقاتالمتسوقين المصرفية من خلال التسجيل في حسابات خدمةGoogle Analyticsالخاصة بتحليلات الويب، وإدخال الشيفرة الخاصة بتتبع هذه الحسابات في الشيفرة المصدريةلموقع التسوّق، وتحديدًا صفحة السداد المالي لقيمة المشتريات.

ووجد خبراء كاسبرسكي أن حوالي عشرين متجرًا عبر الإنترنت في أنحاء العالم جرى اختراقها باستخدام هذه الطريقة.

وتُعدّ عملية التزوير المالي للويب، Web skimming، ممارسة شائعة يستخدمها المهاجمون لسرقة تفاصيل البطاقة المصرفية، كبطاقات الائتمان،التي يُدخلها المتسوقون في صفحات السداد الخاصة بالمتاجر الإلكترونية، حيث “يحقن” المهاجمون أجزاء من شيفرة محددة في الشيفرة المصدرية لموقع ذلك المتجر.

وتجمع هذه الشيفرة الخبيثة البيانات التي أدخلها المتسوقون،بما فيهابيانات المصادقة على الدخول إلى الحساب المصرفي وأرقام البطاقة المصرفية، وتُرسلها إلى العنوان الذي حدّده المهاجمون في تلك الشيفرة الخبيثة.

وغالبًا ما يسجّل المهاجمون النطاقات بأسماء تشبه خدمات تحليلات الويب الشائعة، مثل Google Analytics، لإخفاء حقيقة أن صفحة الويب قد تعرضت للاختراق، ما يصعّب علىمسؤول الموقع إدراك أن الموقع تعرّض للاختراقعندما يُدخلون الشيفرة الخبيثة فيه.

فعلى سبيل المثال، من السهل أن يُنظر إلى موقع باسم googlc-analytics[.]com بوصفه اسمَ نطاق رسميًا سليمًا.

واكتشف باحثو كاسبرسكيحديثًا، مع ذلك، تقنية لم تكن معروفة في السابق لتنفيذ هجمات التزوير المالي للويب؛إذ أعاد المهاجمونتوجيه البيانات إلى حسابات Google Analytics رسميةبدلاً من توجيهها إلى مصادر خارجية، وكل ما كان عليهم فعله،بعد تسجيل حساباتهم على Google Analytics، تهيئة معامِلات تتبع الحسابات لتلقي معرِّف خاص بالتتبّع، ثم حقن الشيفرة الخبيثة مع معرِّف التتبع في الشيفرة المصدريةلصفحة الويب، ما يسمح لهم بجمع بيانات حول الزوار وإرسالها إلى حساباتهم في Google Analytics.

ومن الصعب على المسؤولين إدراك أن الموقع تعرّض للاختراق،نظرًا لأن البيانات لا تُوجَّه إلى مصدرخارجيّمجهول، بل إن أولئك الذين يفحصون الشيفرة المصدرية، سوف تبدو لهم وكأنها الصفحة متصلة بحساب Google Analytics رسمي، وهي ممارسة شائعة تتبعها متاجر التسوق عبر الإنترنت.

كذلك استخدم المهاجمون أيضًا تقنية شائعة لمكافحة التصحيح البرمجي لزيادة صعوبة اكتشاف النشاط التخريبي،إذ لن تُنفّذ الشيفرة الخبيثة إذا ما أقدم مسؤول الموقع على مراجعة الشيفرة المصدريةلصفحة الويب باستخدام “نمط المطور”.

هذا، وعُثر على ما يقرب من عشرين موقع ويب مخترق بهذه الطريقة، بينها متاجر إلكترونية في أوروبا وأمريكا الشمالية والجنوبية.

وأكّدت ڤيكتوريا ڤلاسوڤا المحللالأول للبرمجيات الخبيثة لدى كاسبرسكي،أن هذا الأسلوب في سرقةتفاصيل البطاقاتالمصرفية “لم يُشاهد من قبل”، واصفة إياه بـ “الأسلوب الفعال”.

وقالت: “تُعدّ Google Analytics واحدة من أكثر خدمات تحليلات الويب شيوعًا،إذ تثق بها الغالبية العظمى من المطورين والمستخدمين، ما يعني أن مسؤولي المواقع يمنحونهاالإذن مرارًا وتكرارًا لجمع بيانات المستخدمين،الأمر الذي يجعل عمليات الحقن الخبيثة التي تحتوي على حسابات Google Analytics،عمليات غير مثيرة للريبة ويسهل إغفالها، لذلكيجب على مسؤولي مواقع الويب ألا يفترضوا أن وجود مصدر خارجي في شيفرة مواقعهم أمر مقبول لمجرد أن المصدر رسمي”.

يمكن مطالعة المزيد حول أسلوب السرقة الجديدعلى الويب على Securelist.

ويوصي خبراء كاسبرسكي باتباع ما يلي للبقاء في مأمن من أساليب التزوير المالي للويب:

استخدام حلّأمني موثوق به، مثل Kaspersky Total Security، الذي يمكنه اكتشاف النصوص البرمجية الخبيثة وحظرها من التشغيل، أو حتى تعطيل Google Analytics تمامًا باستخدام ميزة Safe Brower.

زر الذهاب إلى الأعلى