اکنون هکرها از اسکیمرهای وب برای سرقت اطلاعات کارت اعتباری استفاده می کنند

این تاکتیک بسیار معروف به skimming وب اخیراً توسط گروه تهدیداتی که توسط Malwarebytes  کشف‌شده است مورد استفاده قرار می‌گیرد. به یاد داشته باشید ، در سناریوی معمول ، مجرمان سایبری از اسکیمرها برای انتقال اطلاعات کارت از دستگاه‌های خودپرداز و پمپ‌بنزین استفاده می‌کنند.

malwarebyteslogo-100796066-large.jpg

گروه موردنظر این طرح را با تزریق یک پرونده ga.js مخرب به فروشگاه‌های آنلاین با واردکردن یک قطعه کد حاوی اسکریپت از راه دور انجام می‌دهد، که در فرم رمزگذاری شده Base64 قرار داشت که از طریق کارت پرداخت دریافت شده است [.] com ‎/ ga.js به‌ عنوان یک کتابخانه  تحلیلی گوگل تغییر شکل داده‌شده است.
این فرم مستقیماً به‌عنوان یک صفحه پرداخت با استفاده از خدمات دروازه Comm Web whichs که محصول بانک مشترک‌المنافع در استرالیا است ، اطلاعاتی را که کاربر وارد می‌کند ، جمع‌آوری می‌کند. 

Cloned-CommWeb-paytment-page-1024x539.png

دلیلی که آن‌ها به‌طور خاص از Comm Web کرده‌اند این است که آن‌ها می‌خواستند یک فروشگاه استرالیا را بر اساس PrestaShop CMS که بانک مشترک‌المنافع را به‌ عنوان گزینه پرداخت داشته است ، هدف قرار دهند.

برای قانونی‌تر به نظر رسیدن این  صفحه و شاید حتی برای کسب اطمینان از صحت اطلاعات به‌دست‌آمده ، قابلیت‌های اعتبارسنجی داده‌ها نیز به‌ صورت جعلی تعبیه‌شده است. پس از کلیک مشتری بر روی دکمه پرداخت ، داده‌ها توسط مهاجمان جمع‌آوری می‌شود که کاربر این بار به یک صفحه پرداخت مشروع مبنی بر درخواست اطلاعات پرداخت مجدداً هدایت می‌شود.

بااین‌حال ، لازم به ذکر است که این سطح کاملاً جدیدی از خلاقیت است  توسط کلاه‌برداران در این حادثه به نمایش گذاشته‌شده است. قبل از این، مطمئناً مشاهده کردیم که مهاجمان به فیشینگ صفحات وب می‌پردازند تا اطلاعات پرداخت را از طریق روش‌های مختلفی مانند keylogging ، جایگزین کردن بعضی از زمینه‌ها با موارد جعلی به یک فرم یا sniffing کل فرم‌ها انجام دهند ، اما این شاید اولین باری باشد که کل صفحه پرداخت جایگزین شده است .

077-088-H2.jpg
بهترین راه برای محافظت از خود در برابر چنین تلاش‌هایی ، مطالعه دقیق URL صفحه پرداخت و اطمینان از وجود مشروعیت آن است