Siber Güvenlik

Acil: Stripe Kullanarak Kredi Kartı Bilgileri Hırsızlığı Yapıldı

teknomers
teknomers

Yeni Magecart Kampanyası Hakkında

Son dönemde, Magecart grubu, Stripe’ın API altyapısını kullanarak kredi kartı verilerini çalan bir kötü amaçlı yazılım saldırısı gerçekleştirdi. Bu durum, çevrimiçi mağazaların güvenliğini tehdit etmekte ve kullanıcıların hassas bilgilerini hedef almaktadır.

Contents

Saldırı Nasıl Çalışıyor?

Kötü amaçlı etkinlik, güvenilir olarak kabul edilen Google Tag Manager (GTM) ve Stripe alan adları üzerinden gerçekleştirilmektedir. Sansec güvenlik şirketinin tespitlerine göre, zararlı kod bir GTM konteynerinden yükleniyor ve bu konteyner her yüklendiğinde çalıştırılıyor. Kötü amaçlı yazılımın işleyişi şu şekildedir:

  • Kötü niyetli yazılım, api.stripe.com üzerinden veri iletilmektedir.
  • GTM, web sitesi sahiplerinin site kaynak kodunu değiştirmeden analiz, reklam ve izleme için kullanılan script’leri eklemelerine olanak tanır.
  • Kötü amaçlı kod, gerçek görünümlü GTM konteynerlerine gömülmüştür ve bir müşteri kayıt kaydını sorgulamak için Stripe’ın API’sini tetikler.
  • Ödeme sayfalarını hedef alarak, kredi kartı bilgilerini (kart numarası, son kullanım tarihi, CVV, müşteri adı) da içeren hassas verileri toplamaya çalışır.
Kredi Kartı Skimmer Kodu
Kaynak: Sansec

Etkilenen Sistemler

Bu saldırı, özellikle Magento/Adobe Commerce platformlarını hedef alıyor. Saldırganlar, her çalınan kredi kartını sahte bir müşteri kaydı olarak kendi Stripe hesaplarına kaydediyor, böylece Stripe, çalıntı verilerin bir depolama alanı haline geliyor.

Veri Sızdırma Süreci

Çalınan veriler, tek bir string haline getirilip XOR işlemiyle obfuscate ediliyor ve hemen dışa aktarılmıyor. Veri alma işlemi, sayfa yüklendikten sonra ve her bir dakika aralığında gerçekleştiriliyor. Aşağıdaki adımlarla veriler ele geçiriliyor:

  • Veri, ikiye bölünüp yeni bir Stripe müşteri nesnesi oluşturularak metadata alanlarına kaydediliyor.
  • İşlem tamamlandıktan sonra, yerel dosya silinerek saldırının izleri yok ediliyor.
Data exfiltration routine
Veri Sızdırma Rutini
Kaynak: Sansec

Sansec ekibi ayrıca, Google Firestore kullanılarak yapılan bir saldırı varyantını da keşfetti. Bu varyantta, kötü amaçlı yazılım verileri farklı bir localStorage anahtarı (_d_data_customer_) altında kaydediyor.

Çözüm ve Korunma

Bu tür siber saldırılara karşı korunmak için kullanıcıların aşağıdaki önlemleri alması önerilmektedir:

  • Banka kredisi veya debit kartları yerine, belirli limitlerle kullanılabilen sanal kartlar tercih edin.
  • Tüm yazılım ve sistem güncellemelerinizi düzenli olarak yapın.
  • Güvenlik duvarı ayarlarınızı ve içerik güvenliği politika kurallarınızı gözden geçirin.

Sonuç

Güvenliğinizi sağlamak adına, belirtilen önlemleri alarak ve yazılımlarınızı güncelleyerek bu tür saldırılara karşı kendinizi koruyabilirsiniz. Gerekirse, şüpheli aktiviteleri kontrol altına almak için bağlı olduğunuz hizmet sağlayıcınızla iletişime geçmekten çekinmeyin.

Acil durum uygulamaları için yeni zorluk, konuşmadan uyarma
Büyük Küresel Perakendede Çerez Gizliliği Canavarı
Bayonetta 3, ESRB ve PEGI Tarafından Derecelendirildi, Yarın İçin Duyuru Yapıldı
Araştırmacılar, LG Smart TV’de Root Erişimine İzin Veren Güvenlik Açıklarını Keşfediyor
Bing Chat artık paylaştığı tarifler için içerik oluşturuculara kredi vermeyi garanti edecek
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale TikTok Yasakları: Aslında Neden Bu Kadar Önemliydi?
Sonraki Makale Her Laravel Projesinde Kimlik Doğrulamayı Yeniden İnşa Etmeyi Durdurun

Sanal Medya

Son Eklenenler

Acil: Güneydoğu Asya’da Yeni TinyRCT Arka Kapısı Tehditi!
Siber Güvenlik
140’tan Fazla Prime Day Tekno Fırsatı: Apple, Lego, Kindle ve Switch 2 Oyunları
Liste
OpenAI’nin Yeni AI Modelleri: Kullanım Neden Gecikiyor?
Genel
Tesla FSD Kaza Davasında Anlaşma Sağladı, Federal Soruşturmalar Devam Ediyor
Genel
Anthropic ve OpenAI Amidst Rekabetin Ötesindeki Yeni Dönem
Yapay Zeka
Yeni Güncellemeyle Assassin’s Creed Black Flag’in Deniz Şarkıları Yeniden Hayat Buluyor
Oyun