שיטה לגניבת פרטי אשראי
חוקרי אבטחת מידע חשפו שיטת סקימינג (גניבת פרטי אשראי) רחבת היקף שפועלת מאז ינואר 2022 ומכוונת נגד רשתות תשלום מרכזיות, בהן אמריקן אקספרס (American Express), דיינרס קלאב (Diners Club), מאסטרקארד (Mastercard) ויוניון־פיי (UnionPay). לפי דוח שפרסמה קבוצת אבטחת הסייבר סיילנט פוש (Silent Push), הארגונים עם הסיכון הגבוה ביותר להיפגע הם ארגונים גדולים שהם לקוחות של ספקיות תשלום אלה.
במתקפות סקימינג דיגיטלי גורמים זדוניים משתלטים על אתרי מסחר אלקטרוני ופורטלי תשלום לגיטימיים ומחדירים קוד JavaScript זדוני. הקוד פועל באופן סמוי ואוסף פרטים של כרטיסי אשראי ומידע אישי נוסף בזמן שמשתמשים מבצעים תשלום בעמודי הקופה.
מתקפות אלה משתייכות למשפחת מגקארט (Magecart), מונח שנגע במקור לקואליציה של קבוצות פשיעה מקוונות שתקפו אתרי מסחר שהתבססו על פלטפורמת מג'נטו (Magento), ובהמשך התרחבו לפלטפורמות ומוצרים נוספים.
בסיילנט פוש ציינו, כי הקמפיין נחשף לאחר ניתוח דומיין חשוד שהיה מקושר לספק אחסון "אמין" בשם סטארק אינדסטריז (Stark Industries) ולחברה האם פי־קיו הוסטינג (PQ.Hosting), שכיום נמצאות תחת סנקציות. מאז עברה התשתית מיתוג מחדש לשם THE[.]Hosting הנמצא בשליטת הישות ההולנדית. לפי החוקרים, המהלך נועד לעקוף את משטר הסנקציות.
לשיטה מנגנונים מתקדמים להתחמקות מזיהוי על ידי מנהלי אתרים. בין היתר הוא בודק את עץ הדומיין הראשי (DOM) של הדף לאיתור רכיב בשם wpadminbar - סרגל שמופיע באתרים שנבנו באמצעות וורדפרס (WordPress), כאשר מנהלים או משתמשים בעלי הרשאות מתאימות מחוברים לאתר. אם הרכיב מזוהה, הסקימר מפעיל מנגנון השמדה עצמית ומסיר את עצמו מהעמוד. ניסיון להרצת הקוד מתבצע בכל שינוי ב־DOM, תהליך שגרתי שמתרחש בעת אינטראקציה של משתמש עם הדף.
המידע שנגנב אינו מוגבל לפרטי תשלום בלבד, וכולל שמות, מספרי טלפון, כתובות דוא״ל וכתובות משלוח. הנתונים מועברים לשרת באמצעות בקשת שליחה ייחודית. עם השלמת ההעברה, הסקימר מסיר את עקבותיו מעמוד הקופה. בסיילנט פוש סיכמו כי התוקף מפגין ידע מתקדם בעיקר במבנה הפנימי של אתרי וורדפרס, ומשלב בשרשרת התקיפה יכולות ותכונות טכניות שאינן נפוצות בקרב תוקפים אחרים.
