Siber Güvenlik

Acil: Stripe Kullanarak Kredi Kartı Bilgileri Hırsızlığı Yapıldı

teknomers
teknomers

Yeni Magecart Kampanyası Hakkında

Son dönemde, Magecart grubu, Stripe’ın API altyapısını kullanarak kredi kartı verilerini çalan bir kötü amaçlı yazılım saldırısı gerçekleştirdi. Bu durum, çevrimiçi mağazaların güvenliğini tehdit etmekte ve kullanıcıların hassas bilgilerini hedef almaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Kötü amaçlı etkinlik, güvenilir olarak kabul edilen Google Tag Manager (GTM) ve Stripe alan adları üzerinden gerçekleştirilmektedir. Sansec güvenlik şirketinin tespitlerine göre, zararlı kod bir GTM konteynerinden yükleniyor ve bu konteyner her yüklendiğinde çalıştırılıyor. Kötü amaçlı yazılımın işleyişi şu şekildedir:

  • Kötü niyetli yazılım, api.stripe.com üzerinden veri iletilmektedir.
  • GTM, web sitesi sahiplerinin site kaynak kodunu değiştirmeden analiz, reklam ve izleme için kullanılan script’leri eklemelerine olanak tanır.
  • Kötü amaçlı kod, gerçek görünümlü GTM konteynerlerine gömülmüştür ve bir müşteri kayıt kaydını sorgulamak için Stripe’ın API’sini tetikler.
  • Ödeme sayfalarını hedef alarak, kredi kartı bilgilerini (kart numarası, son kullanım tarihi, CVV, müşteri adı) da içeren hassas verileri toplamaya çalışır.
Kredi Kartı Skimmer Kodu
Kaynak: Sansec

Etkilenen Sistemler

Bu saldırı, özellikle Magento/Adobe Commerce platformlarını hedef alıyor. Saldırganlar, her çalınan kredi kartını sahte bir müşteri kaydı olarak kendi Stripe hesaplarına kaydediyor, böylece Stripe, çalıntı verilerin bir depolama alanı haline geliyor.

Veri Sızdırma Süreci

Çalınan veriler, tek bir string haline getirilip XOR işlemiyle obfuscate ediliyor ve hemen dışa aktarılmıyor. Veri alma işlemi, sayfa yüklendikten sonra ve her bir dakika aralığında gerçekleştiriliyor. Aşağıdaki adımlarla veriler ele geçiriliyor:

  • Veri, ikiye bölünüp yeni bir Stripe müşteri nesnesi oluşturularak metadata alanlarına kaydediliyor.
  • İşlem tamamlandıktan sonra, yerel dosya silinerek saldırının izleri yok ediliyor.
Data exfiltration routine
Veri Sızdırma Rutini
Kaynak: Sansec

Sansec ekibi ayrıca, Google Firestore kullanılarak yapılan bir saldırı varyantını da keşfetti. Bu varyantta, kötü amaçlı yazılım verileri farklı bir localStorage anahtarı (_d_data_customer_) altında kaydediyor.

Çözüm ve Korunma

Bu tür siber saldırılara karşı korunmak için kullanıcıların aşağıdaki önlemleri alması önerilmektedir:

  • Banka kredisi veya debit kartları yerine, belirli limitlerle kullanılabilen sanal kartlar tercih edin.
  • Tüm yazılım ve sistem güncellemelerinizi düzenli olarak yapın.
  • Güvenlik duvarı ayarlarınızı ve içerik güvenliği politika kurallarınızı gözden geçirin.

Sonuç

Güvenliğinizi sağlamak adına, belirtilen önlemleri alarak ve yazılımlarınızı güncelleyerek bu tür saldırılara karşı kendinizi koruyabilirsiniz. Gerekirse, şüpheli aktiviteleri kontrol altına almak için bağlı olduğunuz hizmet sağlayıcınızla iletişime geçmekten çekinmeyin.

Chess.com, dosya transfer uygulamasıyla gerçekleşen veri ihlalini açıkladı.
Satori, Veri Güvenliği Platformunu Duruş Yönetimi ve Veri Deposu Keşfi Yetenekleriyle Artırıyor
Hiç Çıkmayan RTX 3070 Ti 16GB Ekran Kartı Yüzeyleri
SparklingGoblin, Devam Eden Siber Kampanyada SideWalk Backdoor’un Linux Sürümünü Güncelliyor
Çevrimiçi Oyunlarda Güvenlik Neden Daha Önemlidir?
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale TikTok Yasakları: Aslında Neden Bu Kadar Önemliydi?
Sonraki Makale Her Laravel Projesinde Kimlik Doğrulamayı Yeniden İnşa Etmeyi Durdurun

Sanal Medya

Son Eklenenler

Kritik Everest Forms Pro Açığı: WordPress Siteleri Tehditte!
Siber Güvenlik
Belirli Bir Kelimeye Bağlantı Nasıl Paylaşılır? İşte Bilmeniz Gerekenler!
Genel
Prusa Research, INDX için tamamen spektrum çalışmalarına başladı
Donanım
82-0 En İyi Basketbol Oyunu, NBA 2K’ya Elveda!
Liste
Bungie, Marathon Deluxe Edition Sorununu Ücretsiz Oyunla Çözüyor
Oyun
Final Fantasy 7 Yenilikleri İlk Fragmanı ile Gözler Önünde
Oyun