Cyberkriminelle lader til at fungere på en ny måde at stjæle betaling kortdata. Ifølge IBM sikkerhedseksperter, en gruppe af hackere er ved at udvikle ondsindede scripts til brug mod kommerciel-grade Layer 7 (L7) routere.
Dette ville helt ændre metoderne set i skimming angreb såsom Magecart, som indtil nu den skadelige kode, der bruges af hackere blev leveret på hjemmesiden niveau via JavaScript eller PHP filer. Ændring af angrebet overflade kan betragtes som en udvikling i Magecart-drevne angreb.
Først og fremmest, lad os se, hvad der præcist et lag 7 router er. Det er en form for kommerciel, tunge router typisk for store netværk, statslige dem inkluderet. Forskellen til andre router er, at et lag 7 enheden er i stand til at manipulere trafikken på applikationsniveau, også kendt som 7th niveau, af OSI netværk model. Med andre ord, routeren kan reagere på trafikken ikke kun i henhold til IP-adressen, men også cookies, domænenavne, browsertyper, etc.
Så, hvad gjorde IBM forskere afsløre i deres analyse?
Holdet har identificeret ondsindet aktivitet, som de tilskrives Magecart 5 cyberkriminelle gruppe. Forskningen viser, at Magecart hackere er ”sandsynligvis teste ondsindet kode designet til injektion i godartede JavaScript-filer indlæst af kommerciel kvalitet Layer 7 routere, routersthat anvendes typisk af lufthavne, kasinoer, hoteller og resorts”. Den analyserede angrebsscenarie afslører, at angrebet mod denne form for routere kan tillade ondsindet annonce indsprøjtning samt adgang til andre dele af den kompromitterede netværk.
Hvordan ville et angreb mod L7 routere ske?
Disse angreb er baseret på den idé, at angriberne ville udnytte L7 routere og misbruger deres trafik manipulation funktioner til at injicere ondsindede scrips i de aktive browsersessioner af brugere. Faktisk, IBM siger, at Magecart gruppen for nylig injicerede skadelig kode i et open source mobil skyderen modul:
Mg5 typisk bruger JavaScriptandhas sandsynligvis injiceres sin kode ind i en JSlibrary tjente til mobile app udviklere. At open source-kode er tilvejebragt som en fri, MIT licens værktøj designedto give aflæse funktioner på mobile enheder. Ved at inficere denne kode ved kilden, Mg5 kan inficere og kompromis alle de apps, der inkorporerer, at modulet i deres codeand stjæle data fra brugere, som vinder downloade mineret apps.
Desuden, de scrips forskerne fik fat i syntes at være specielt oprettet til at udtrække betalingskortoplysninger fra onlinebutikker, og uploade Høstet oplysninger til en ekstern webserver. Det er underligt at bemærke, at de scripts, blev afdækket, fordi angriberne uploadet filerne på VirusTotal, som blev måske gjort for testning grunde til at se, om koden ville blive opdaget af antivirus-motorer.
IBM opdagede 17 sådanne scripts, og grupperet dem i 5 sektioner efter deres formål.
Forskerne kiggede ind YARA Regler
Forskerne kiggede ind YARA regler (et værktøj, der gør det muligt for en regelbaseret tilgang til at skabe beskrivelser af malware familier baseret på tekstmæssige eller binære mønstre) og IOC (indikator for kompromis) forbundet med Magecart gruppe 5 aktivitet. En VirusTotal alarm fra en af de analyserede Yaras reglerne oprindeligt identificeret to un-korrumperet fil prøver, der var meget lig prøver delt i tidligere analyser af Magecart aktivitet.
Eksperterne bemærket, at disse to prøver, som delte en fælles navngivningskonventionen, blev identificeret som JavaScript skimming kode. Den tilbagevendende fil navngivningskonventionen, hvor strengen ”test4” gentog, også kom fra den samme upload-medlem og kilde placering i Murino, Rusland, hedder det i rapporten.
Hvad kan brugerne gøre for at forhindre disse angreb?
Desværre, Der er ikke meget en bruger kan gøre for at omgå et angreb på routeren niveau. Den eneste sikre ting er at undgå indkøb fra mistænkelige online butikker eller offentlige netværk, som dem i hoteller, indkøbscentre, og lufthavne. Ikke desto mindre, shopping hjemmefra også udgør en risiko.
Der er stadig håb, som sikkerhedseksperter har anbefale noget, der hedder et virtuelt kort. Denne tilgang betyder, at brugeren får en et-betalingskort nummer anvendes til en transaktion kun.
Hvad er et virtuelt kort? Det er et forudbetalt kreditkort, som gør det muligt shopping frit online. Det virtuelle kort kun har et nummer, og har ikke en fysisk luftfartsselskab. Med dette kort brugere kan stole på sikkerheden og beskyttelsen af deres online-betalinger.
Det betyder, at selv om kortnummer bruges på en farlig hjemmeside, kortnummeret er ubrugelig, når transaktionen er gennemført. Ulempen ved den virtuelle kort er, at det stadig ikke er bredt tilgængelige for brugere over hele verden, og det kan ikke være let at få en.
Ændringen i taktik Magecart hackere i deres skimming operationer er ikke så overraskende, som angreb på router niveau er ikke uset. Usikre routere har været målet i mange angreb, såsom phishing, cryptomining, og malware downloads.
Kort, router sikkerhed ikke bør overses. For at holde routeren sikker, du bør kontrollere, om routeren har en nøgle eller ej. Hvis du ikke har setup på en tast for routeren, så kan du gøre det ved at bruge skærmen på trådløse opsætning den sikkerhed, som er til stede i routeren. Der er andre tips til router sikkerhed at du bør overveje at anvende.