Teknoloji

Hacker’lar, internetten alışveriş yapanlara bu türlü saldırıyorlar

Kaspersky araştırmacıları, kullanıcıların e-ticaret sitelerindeki ödeme haberlerini çalmak için web üzerinden kart haberlerini yekuna (web skimming) olarak bilinen taarruz usulünden yararlanıldığını tespit etti. Google Analytics hesapları açan saldırganlar bu kodların takip kodlarını web sitelerinin kaynak kodlarına olursuz yerleştirerek kullanıcıların kredi kartı haberlerini ele geçirebiliyor. Bu sistemle dünya genelinde yaklaşık iki düzine e-ticaret sitesinin akına uğradığı belirlendi. 

Saldırganların e-ticaret sitelerindeki ödeme sahifelerinden kredi kartı haberlerini çalmak için kullandıkları web skimming ismi verilen tanınan metotta web sitesinin kaynak koduna kimi kod modülleri ekleniyor. Bu zararlı kod kesimleri, ziyaretçilerin siteye girdiği dataları (ödeme hesaplarına giriş haberleri yahut kredi kartı numaraları) toplayıp bunları saldırganların belirttiği adrese gönderiyor. Saldırganlar web sitesinin ele geçirdiklerini gizlemek için Google Analytics üzere tanınan web analitiği hizmetlerini andıran alan isimlerine kayıt oluyor. Böylelikle site başkanının siteye zararlı kod girdiğini anlaması zorlaşıyor. Örneğin, “googlc-analytics[.]com” üzere bir site ismini yasal bir alan ismiyle karıştırmak çok kolay oluyor. 

Yakın zaman evvel Kaspersky araştırmacıları, web sitelerinden kredi kartı haberlerini çalmak için daha evvel bilinmeyen bir tekniğin kullanıldığını da keşfetti. Bu teknikte saldırganların doneyi üçüncü taraf kaynaklar noktasına resmi Google Analytics hesaplarına yönlendirdiği görüldü. Google Analytics hesabı açan saldırganlar, bu hesapların takip parametrelerini düzenleyerek bir takip kimliği alıyor. Akabinde bu takip kimliğine zararlı kodlar ekleyerek web sitesinin kaynak koduna yerleştiren saldırganlar ziyaretçilerin olgularını toplayıp direkt kendi Google Analytics hesaplarına gönderiyor. 

Olgular bilinmeyen bir üçüncü taraf kaynağına yönlendirilmediği için başkanların bu sistemi fark etmesi çok çetin oluyor. Kaynak kodu incelendiğinde sahifenin resmi bir Google Analytics hesabıyla ilişki kurduğu görülüyor. Bu da e-ticaret sitelerinin sıklıkla uyguladığı bir prosedür.

Istenilmeyen niyetli faaliyetin tespitini daha da zorlaştırmak isteyen saldırganlar, kusur ayıklamayı önlemek için sıkça kullanılan bir teknikten de yararlanıyor. Site başkanı, Geliştirici modunu kullanarak sahifenin kaynak kodunu incelerse zararlı kod çalışmıyor. 

Avrupa, Kuzey ve Güney Amerika’da yaklaşık iki düzine web sitesinin bu yolla ele geçirildiği belirlendi. 

Kaspersky Kıdemli Zararlı Yazılım Analisti Victoria Vlasova, “Daha evvel bu aşama tesirli bir metotla karşılaşmamıştık. Google Analytics en tanınan web analitiği hizmetlerinden biri. Geliştiricilerin birçok bu hizmeti inançla kullanıyor ve site başkanları bu hizmetin kullanıcı datalarını toplamasına genellikle müsaade veriyor. Bu da Google Analytics hesaplarını kullanan bu akınların gözden kaçırılmasını kolaylaştırıyor. Başkanlar yasal üçüncü taraf kaynaklarındaki kodların zararsız olduğunu varsaymamalı.” dedi. 

Web sitelerinden kredi kartı haberlerini çalmak için kullanılan bu yeni yol hakkında daha fazlasını Securelist sahifesinde bulabilirsiniz. 

Kaspersky bilirkişileri, web skimming sisteminden korunmak için şunu öneriyor:

Zararlı kodların çalışmasını engelleyebilen yahut Google Analytics’i devre dışı bırakabilen sağlam bir güvenlik tahlili kullanın.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu