Orta Doğu ve Afrika’daki perakendeciler, Web tarama saldırılarının daha fazla sayıda kurbanından sorumludur, ancak toplam tüketici kurbanı sayısının küçük bir kısmıdır.
Böyle bir saldırının en son keşfinde bağımsız bir araştırmacı ortaya çıkarıldığını iddia ediyor Pakistan ve Birleşik Arap Emirlikleri merkezli giyim perakende sitesi Khaadi’nin hazırlama sunucusundaki web taraması kodu. Kod, bir Alman futbol takımının başka bir web sitesine yapılan Web tarama saldırısına yönelik bir soruşturma sırasında keşfedildi ve İnternet çapında yapılan bir arama, güvenliği ihlal edilmiş diğer 1.800 siteyi ortaya çıkardı.
Bağımsız siber güvenlik araştırmacısı Gi7w0rm (Gitworm), bu keşfin, Magecart saldırıları olarak da bilinen Web-skimming saldırılarının bir tehdit olmaya devam ettiğinin altını çizdiğini söylüyor. Magecart, ödeme kartı bilgilerini çalmak için e-ticaret sitelerine kart skimmer’ları yerleştiren saldırılar için kullanılan terimdir.
“Web tarama saldırıları hâlâ gündemde çünkü bu saldırılar hâlâ suçlulara geçerli bir gelir kaynağı olmaya yetecek kadar para sağlıyor” diyor. “Ve aktörlerin geçerli CC almak için çok sayıda Web mağazasından taviz verme kolaylığı [credit card] Veriler kesinlikle buna katkıda bulunuyor.”
Çoğu kısım için, Magecart saldırıları Orta Doğu ve Afrika’da nispeten nadirdir. MEA bölgesi, teknolojiyi ve çevrimiçi alışverişi daha kolay benimseyen genç bir nüfusa sahip olsa da, geleneksel kredi kartlarını kullanma olasılıkları daha düşük ve modern mobil ödeme teknolojisini kullanma olasılıkları daha yüksek. Ayrıca, Kuzey Amerika ve Avrupa’daki kredi kartı hesapları, siber suçlular için genellikle daha iyi bir yatırım getirisine sahiptir.
Orta Doğu ve Afrika, çalınan kredi kartlarının %2’sinden azını oluşturuyor. Kaynak: Kaydedilen Gelecek
Yine de bölge bu saldırılara karşı bağışık değil. Orta Doğu ve Afrika’daki ülkeler arasında, genellikle hem Avrupa hem de MEA bölgelerinde yer alan Türkiye, kaymak saldırılarından etkilenen ilk 10 ülke listesinde yer alıyor ve listede %5,5’lik payla üçüncü sırada yer alıyor. Siber güvenlik firması ESET tarafından toplanan verilere göre tüm tespitler.
ESET güvenlik savunucusu Ondrej Kubovič, “Magecart Web skimmer saldırıları pek hedefe yönelik değil” diyor. “Arkalarındaki gruplar para peşinde, bu yüzden çok seçici değiller ve genellikle seçtikleri saldırı vektörü aracılığıyla ulaşabilecekleri kadar çok konumdaki e-mağazayı tehlikeye atıyorlar. Elbette saldırganlar muhtemelen daha fazla zaman ayırmaya isteklidirler ve daha büyük e-mağazalardan ödün verme çabası, çünkü bu web sitelerinin güvenliği küçük rakiplerinin güvenliğinden biraz daha iyi olsa bile, bu web sitelerinin yatırım getirisi potansiyel olarak daha yüksek.”
Güvenliği ihlal edilmiş kartlar
Tehdit istihbarat firması Recorded Future’ın verilerine göre, genel olarak Orta Doğu ve Afrika, 2023’te keşfedilen tüm kredi kartlarının yüzde 2’sinden azını oluşturuyor. En fazla risk altındaki kartların bulunduğu ülke olan Güney Afrika, Dark Web tarama mağazalarına gönderilen ele geçirilmiş kartların sayısında dramatik bir düşüş (%42) ile 280.000’e ulaşırken, en çok hedeflenen beşinci ülke olan Mısır, kart sayısında dört katına çıkarak 80.000’e ulaştı. Vatandaşların kartları internette yayınlandı. (Recorded Future, Türkiye’yi Avrupa’nın bir parçası olarak sınıflandırıyor. MEA ile gruplandırılsaydı, 2023’te ele geçirilen kartlardaki %67’lik artışın ardından bu listede 1. sırada yer alırdı.)
Recorded Future, “Sonuç olarak, bölgesel pazar farklılıkları, dolandırıcıların belirli bölgelerdeki kayıtların dolandırıcılık açısından diğer bölgelerde yayınlananlara göre daha fazla veya daha az değere sahip olduğunu algıladıklarına işaret ediyor” dedi.Yıllık Ödeme Dolandırıcılığı İstihbarat Raporu: 2023“
Jscrambler’da güvenlik analisti olan David Alves, saldırıların doğası gereği jeopolitik olma ihtimalinin düşük olduğunu ve genellikle yalnızca web sitelerine kod ekleme yeteneğinden para kazanmaya odaklandığını söylüyor.
“Büyüyen dijital ekonomilere ve daha az olgun siber güvenlik uygulamalarına sahip bölgeleri hedeflemede bir artış görebiliriz” diyor. “Fakat genellikle saldırganlar ödülün peşindedir, yerin değil.”
Magecart Savunmaları
Gözden geçirme saldırılarının daha karmaşık kaçırma teknikleri ile tespit edilmesi zorlaşacak ve web sitesi sahipleri, sitelerinin ve kullandıkları üçüncü taraf kodlarının güvenliğine daha iyi dikkat etmeye zorlanacak.
Jscrambler’den Alves, saldırganların tek bir saldırıyla çok sayıda kurbanı vurmak için popüler üçüncü taraf bileşenlerini hedef aldığını söylüyor.
“Saldırganlar tedarik zincirinin ‘en zayıf halkasını’ hedef alıyor; bu halka genellikle siber güvenliğe ayrılan en az kaynağa sahip satıcıdır” diyor. “Bu tür bir saldırı aynı zamanda tehdit aktörlerinin tek bir saldırıyla birden fazla şirketi hedef almasına olanak tanıdığı için potansiyel yatırım getirisini de artırıyor.”
Güvenlik açıkları barındıran eklentiler ve üçüncü taraf bileşenler çoğunlukla siber saldırılarda kötüye kullanılır, bu nedenle e-ticaret firmaları yalnızca yamalı bileşenleri çalıştırmalı ve bilinen güvenlik açıklarına sahip tüm eklentileri devre dışı bırakmalıdır. Örneğin WordPress eklentilerindeki güvenlik açıkları on binlerce siteyi etkileyebilir, bu da onları Magecart grupları için çekici hale getirebilir ve bu nedenle hızlı bir şekilde yama yapılması kritik öneme sahiptir.
Ayrıca Web mağazaları, sayfa başlıklarında, JavaScript ve CSS gibi belirli tarayıcı özelliklerinin nasıl kullanılabileceğini kısıtlayan bir içerik güvenliği politikasının (CSP) uygulandığından emin olmalıdır. Son olarak, web sitesi tarayıcıları herhangi bir komut dosyasının bilinmeyen veya kötü amaçlı sitelere ulaşıp ulaşmadığını belirleyebilir.
“Çözülmemiş Gizem”
Araştırmacı G17w0rm, Web tarama kodunu 2 Ocak’ta hem Khaadi’ye hem de Pakistan’ın Bilgisayar Acil Durum Müdahale Ekibine (PK-CERT) bildirdi ve 7 Ocak’ta da takip yapıldı. Her iki kuruluşun da yanıt verdiğini söyledi.
“Bugün itibariyle Khaadi’nin bu alt alan adları tehlikede olmaya devam ediyor” diyor. “Bu, etkilenen alanlardan birini açarken, sepete bir şey koyarken ve ödeme sayfasına giderken görülebilir ve kanıtlanabilir.”
Koddan etkilenen web sayfalarının şu anda perakendeci tarafından kullanımda görünmediğini, bu nedenle müşterilerin etkilenme olasılığının azaldığını belirtti. “Khaadi.com alanında neden birden fazla çalışan Web mağazasının olduğu benim için çözülmemiş bir gizem, ancak onlarla konuşamadığım için gerçekten içeriden bir görüş elde edemiyorum” diyor.
Perakendeci, Dark Reading tarafından gönderilen yorum için e-posta isteğine yanıt vermedi.
