Siber Güvenlik

Acil: Stripe Kullanarak Kredi Kartı Bilgileri Hırsızlığı Yapıldı

teknomers
teknomers

Yeni Magecart Kampanyası Hakkında

Son dönemde, Magecart grubu, Stripe’ın API altyapısını kullanarak kredi kartı verilerini çalan bir kötü amaçlı yazılım saldırısı gerçekleştirdi. Bu durum, çevrimiçi mağazaların güvenliğini tehdit etmekte ve kullanıcıların hassas bilgilerini hedef almaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Kötü amaçlı etkinlik, güvenilir olarak kabul edilen Google Tag Manager (GTM) ve Stripe alan adları üzerinden gerçekleştirilmektedir. Sansec güvenlik şirketinin tespitlerine göre, zararlı kod bir GTM konteynerinden yükleniyor ve bu konteyner her yüklendiğinde çalıştırılıyor. Kötü amaçlı yazılımın işleyişi şu şekildedir:

  • Kötü niyetli yazılım, api.stripe.com üzerinden veri iletilmektedir.
  • GTM, web sitesi sahiplerinin site kaynak kodunu değiştirmeden analiz, reklam ve izleme için kullanılan script’leri eklemelerine olanak tanır.
  • Kötü amaçlı kod, gerçek görünümlü GTM konteynerlerine gömülmüştür ve bir müşteri kayıt kaydını sorgulamak için Stripe’ın API’sini tetikler.
  • Ödeme sayfalarını hedef alarak, kredi kartı bilgilerini (kart numarası, son kullanım tarihi, CVV, müşteri adı) da içeren hassas verileri toplamaya çalışır.
Kredi Kartı Skimmer Kodu
Kaynak: Sansec

Etkilenen Sistemler

Bu saldırı, özellikle Magento/Adobe Commerce platformlarını hedef alıyor. Saldırganlar, her çalınan kredi kartını sahte bir müşteri kaydı olarak kendi Stripe hesaplarına kaydediyor, böylece Stripe, çalıntı verilerin bir depolama alanı haline geliyor.

Veri Sızdırma Süreci

Çalınan veriler, tek bir string haline getirilip XOR işlemiyle obfuscate ediliyor ve hemen dışa aktarılmıyor. Veri alma işlemi, sayfa yüklendikten sonra ve her bir dakika aralığında gerçekleştiriliyor. Aşağıdaki adımlarla veriler ele geçiriliyor:

  • Veri, ikiye bölünüp yeni bir Stripe müşteri nesnesi oluşturularak metadata alanlarına kaydediliyor.
  • İşlem tamamlandıktan sonra, yerel dosya silinerek saldırının izleri yok ediliyor.
Data exfiltration routine
Veri Sızdırma Rutini
Kaynak: Sansec

Sansec ekibi ayrıca, Google Firestore kullanılarak yapılan bir saldırı varyantını da keşfetti. Bu varyantta, kötü amaçlı yazılım verileri farklı bir localStorage anahtarı (_d_data_customer_) altında kaydediyor.

Çözüm ve Korunma

Bu tür siber saldırılara karşı korunmak için kullanıcıların aşağıdaki önlemleri alması önerilmektedir:

  • Banka kredisi veya debit kartları yerine, belirli limitlerle kullanılabilen sanal kartlar tercih edin.
  • Tüm yazılım ve sistem güncellemelerinizi düzenli olarak yapın.
  • Güvenlik duvarı ayarlarınızı ve içerik güvenliği politika kurallarınızı gözden geçirin.

Sonuç

Güvenliğinizi sağlamak adına, belirtilen önlemleri alarak ve yazılımlarınızı güncelleyerek bu tür saldırılara karşı kendinizi koruyabilirsiniz. Gerekirse, şüpheli aktiviteleri kontrol altına almak için bağlı olduğunuz hizmet sağlayıcınızla iletişime geçmekten çekinmeyin.

AB Komisyonu, Gizlilik Yasalarını İhlal Ederek Kullanıcı Verilerini Meta’ya Aktarmaktan Ceza Aldı
Qantas, 5.7 milyon müşteriyi etkileyen veri ihlalini doğruladı.
Helene Kasırgası CISA Dolandırıcılığı Uyarısında Bulundu
NCSC, İngiltere Genelinde Güvenlik Açığı Tarama Programını Uyguladı
Babbel ile StackSocial’dan 14 dil öğrenme fırsatı!
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale TikTok Yasakları: Aslında Neden Bu Kadar Önemliydi?
Sonraki Makale Her Laravel Projesinde Kimlik Doğrulamayı Yeniden İnşa Etmeyi Durdurun

Sanal Medya

Son Eklenenler

Path of Exile 2 Oynamayı Bırakanlar İçin Şok Gelişme
Oyun
4K Blu-ray’lerde Babalar Günü Öncesi Üç Tane 33 Dolar
Liste
Heyecan Verici Bir Yolculuk: God of War Laufey’in Yönetmeni Taraftarları Bekliyor
Oyun
Dan Greaney’nin İlk Başkanlık Kampanya Mitingi: Şaka Değil!
Genel
$6000 kamyon oyun sistemine büyük güncelleme: Yeni koltuk ve aksesuarlar
Donanım
Xbox Game Pass PC’de Hala Canlı; Bunun Nedeni Microsoft Değil
Oyun