Cyber-Kriminelle werden auf eine neue Art und Weise zu arbeiten Zahlungskartendaten zu stehlen. Laut IBM Sicherheitsforscher, eine Gruppe von Hackern entwickelt derzeit bösartige Skripte gegen handelsüblichem Schicht zu verwenden 7 (L7) Router.
Dies würde ganz Methoden in Skimming-Attacken gesehen verändern wie Magecart, wie oben der bösartige Code verwendet von Hackern bisher wurde auf dem Website-Ebene über JavaScript oder PHP-Dateien ausgeliefert. die Angriffsfläche ändern kann als eine Weiterentwicklung in Magecart betriebenen Angriffe betrachtet werden.
Zunächst, mal sehen, was genau eine Schicht 7 Router. Es ist eine Art von kommerziellen, Heavy-Duty-Router typisch für große Netzwerke, Regierung diejenigen eingeschlossen. Der Unterschied zu jedem anderen Router ist, dass eine Schicht 7 Gerät kann Verkehr auf der Anwendungsebene des Manipulierens, auch als 7. Ebene bekannt, des OSI-Netzwerkmodell. Mit anderen Worten, kann der Router für den Verkehr reagiert nicht nur nach der IP-Adresse, sondern auch Cookies, Domain Namen, Browser-Typen, etc.
So, Was haben aufzudecken IBM Forscher in ihrer Analyse?
Das Team hat bösartige Aktivitäten identifiziert, die sie den Magecart zugeschrieben 5 cyberkriminelle Gruppe. Die Forschung zeigt, dass der Magecart Hacker ist „wahrscheinlich bösartigen Code für die Injektion in gutartige Dateien von kommerzieller Qualität Schicht geladen JavaScript-Prüfung 7 Router, routersthat von Flughäfen typischerweise verwendet werden,, Casinos, Hotels und Resorts“. Der Angriff analysiert Szenario zeigt, dass der Angriff gegen diese Art von Router zu anderen Teilen des kompromittierten Netzwerk den Zugang als auch bösartige ad Injektion zulassen.
Wie würde ein Angriff gegen L7 Router passieren?
Diese Angriffe sind auf der Idee, dass Angreifer würde L7 Router nutzen und missbrauchen ihre Verkehr Manipulation Funktionen bösartige Scripte in den aktiven Browser-Sitzungen von Benutzern zu injizieren. Tatsächlich, IBM sagt, dass die Magecart Gruppe kürzlich bösartigen Code in eine Open-Source-Handy Slider-Modul injizierte:
MG5 verwendet in der Regel JavaScriptandhas wahrscheinlich seinen Code injiziert in eine JSlibrary auf mobile App-Entwickler serviert. Der Open-Source-Code ist als kostenloses, MIT lizenzierte Werkzeug designedto klauen Funktionen auf mobilen Endgeräten zur Verfügung stellen. Durch diesen Code an der Quelle zu infizieren, MG5 können alle Anwendungen infizieren und Kompromisse, die dieses Modul in ihre codeand stehlen Daten von Nutzern integrieren, die schließlich die Sprengfallen versehen Anwendungen herunterladen.
Zudem, die scrips bekam die Forscher halten, erschien speziell geschaffen werden, um Kreditkarteninformationen von Online-Shops zu extrahieren, und laden geernteten Informationen an ein Remote-Webserver. Es ist merkwürdig, zu beachten, dass die Skripte aufgedeckt wurden, weil die Angreifer die Dateien auf Virustotal hochgeladen, das war vielleicht zu Testzwecken durchgeführt, um zu sehen, ob der Code von Antivirenprogrammen erkannt werden würde.
IBM entdeckt 17 solche Skripte, und gruppiert sie in 5 Abschnitte nach ihrem Zweck.
Die Forscher untersuchten in YARA Regeln
Die Forscher untersuchten in YARA Regeln (ein Werkzeug, das einen regelbasierte Ansatz ermöglicht es Beschreibungen von Malware-Familien basierend auf Text- oder Binär-Muster zu erstellen) und IOC (Indikator für Kompromiss) mit der Gruppe verbunden Magecart 5 Aktivität. Ein Virustotal Alarm von einem der analysierten Yara Regeln zunächst zwei un-verschleierte Datei Proben identifiziert, die in früheren Analysen von Magecart Aktivität geteilt Proben sehr ähnlich waren.
Die Experten festgestellt, dass diese beiden Proben, die geteilt eine gemeinsame Namenskonvention, wurden als JavaScript Skimming-Code identifiziert. Die wiederkehrende Dateinamenskonvention, wo die Zeichenfolge „test4“ wiederholt, auch kam aus dem gleichen Upload-Mitgliedes und Quellenort in Murino, Russland, Der Bericht sagt.
Was kann der Anwender tun, um diese Angriffe zu verhindern?
Leider, Es gibt nicht viel kann ein Benutzer tun, einen Angriff auf die Router-Ebene zu umgehen. Die einzige bestimmte Sache ist Einkaufen von verdächtigen Online-Shops oder öffentlichen Netzwerken zu vermeiden, wie die, die in Hotels, Malle, und Flughäfen. Dennoch, Einkaufen von zu Hause birgt auch Risiken.
Es gibt noch Hoffnung, als Sicherheitsforscher etwas eine virtuelle Karte genannt empfehle wurde. Dieser Ansatz bedeutet, dass der Benutzer eine für eine Transaktion verwendet, um eine Zahlungskartennummer wird nur.
Was ist eine virtuelle Karte? Es ist eine Prepaid-Kreditkarte, die es ermöglicht, Einkaufen frei online. Die virtuelle Karte verfügt über nur eine Nummer und verfügt nicht über einen physischen Träger. Mit dieser Karte kann der Anwender vertrauen auf die Sicherheit und den Schutz ihrer Online-Zahlungen.
Dies bedeutet, dass selbst wenn die Kartennummer auf eine gefährliche Website verwendet wird, die Kartennummer ist nutzlos, wenn die Transaktion abgeschlossen ist. Der Nachteil der virtuellen Karte ist, dass es für die Nutzer immer noch nicht weit verbreitet ist weltweit, und es kann nicht leicht sein, einen bekommen.
Die Änderung in der Taktik von Magecart Hacker in ihren Skimming-Operationen ist das nicht überraschend, wie Angriffe auf Router-Ebene sind nicht ungesehen. Unsichere Router wurden in vielen Angriffe gezielt, wie Phishing, cryptomining, und Malware-Downloads.
Zusamenfassend, Router Sicherheit sollte nicht übersehen werden,. Für den Router sicher zu halten, Sie sollten prüfen, ob der Router einen Schlüssel hat oder nicht. Wenn Sie eine beliebige Taste nicht Setup für den Router, dann können Sie es tun, indem Sie den Bildschirm der drahtlosen Sicherheitseinstellungen verwenden, die im Router vorhanden sind. Da sind andere Tipps für die Router-Sicherheit dass Sie sollten in Betracht ziehen Anwenden.