Online -Kreditkartendiebstahl - ein kurzer Überblick über Online -Betrug und Missbrauch

In meinem vorherigenPostÜber E -Commerce -Kreditkarten -Swipers habe ich den allgemeinen Überblick über die Online -E -Commerce -Umgebung sowie einige der Gründe für die Frage, warum Websites mit dieser Art von Malware beeinträchtigt werden, beschrieben.In diesem Beitrag werde ich auf ein paar Details der Taxonomie webbasierter Kreditkarten-Swiper eingehen. Überprüfen Sie einige gute Online-Ressourcen für Schwachstellen sowie einige Schritte zum Schutz Ihrer Website und Ihrer Kunden.

Verschiedene Arten von Swiperen

Nachdem wir die breitere E -Commerce -Webumgebung im vorherigen Beitrag überprüft haben, werfen wir einen Blick auf einige tatsächliche Swiperer und die verschiedenen „Aromen“, die sie hereinkommen. Es gibt und große, vier verschiedene Typen:

JavaScript -Injektion
JavaScript -Dateiänderung
PHP -Dateiänderung
Kompromittierter Server

JavaScript -Injektion

Eine JavaScript -Injektion ist in der Regel bei weitem am einfachsten zu erkennen und am einfachsten zu reinigen, aber es ist auch am einfachsten für Angreifer, auf einer Website zu platzieren.Dies liegt an der Existenz von Bereichen innerhalb von Admin -Panels für „verschiedene Skripte“ in Magento und Widgets in WordPress.Hier ist ein Beispiel für eine solche Injektion auf einer Magento -Website:

Diese Bereiche des Administratorpanels (die standardmäßig für Brute -Force -Angriffe, wie wir bereits überprüft habenWiper.

Diese sind in Ihrem Browser leicht genug zu sehen, insbesondere wenn Sie eine Sicherheitsverlängerung verwenden, z. B.NoScript(was ich nicht genug empfehlen kann) und leicht genug zu reinigen.Wenn die Domain zu unserer Blockliste hinzugefügt wird, sollte sie auch von erkannt werdenSitecheck.Natürlich tauschen die Angreifer diese Domänen häufig anstelle von neuen aus, um die Erkennung zu vermeiden.Es ist ein konstantes, nie endendes Katze und Mausspiel.

Diese sind überraschend häufig und ich habe mehr als ein paar ziemlich große Unternehmen gesehen, die von dieser Art von Angriff betroffen sind.

Ähnliche Arten von Injektionen können auch in die Datenbank von WordPress -Websites inji*ziert werden, in diesem Fall in diewp_postsTabelle, speziell auf ihre WooCommerce -Checkout -Seite abzielt:

Online Credit Card Theft - A Brief Overview of Online Fraud and Abuse - Part 2 (2)

In diesem Fall wurde Base64 codiert, um die Erkennung zu vermeiden (so ist dies auch so, wie einige Plugins ihre Daten speichern).Wenn es dekodiert ist, sieht es so aus:

JavaScript -Dateiänderung

Diese Art von Kreditkarten-Swiper ist etwas hinterhältiger, kann aber im Browser und durch einige Computer-Virenprogramme für Computer erkannt werden.Hier ist ein Beispiel für einen Magento -Swiper, der eine .js -Datei beeinflusst hat:

Diese Injektionen sind in der Regel stark verschleiert und können schwierig zu dekodieren.Diese müssen auch nicht unbedingt auf die E -Commerce -Plugin -Dateien abzielen.Solange die Datei die Kasse lädt, kann die Nutzlast an das Opfer geliefert werden.Viele Plugin- und Erweiterungsdateien laden die Kasse, sodass der Schuldige manchmal schwierig zu verfolgen ist.

Die Angreifer müssen Zugriff auf das Dateisystem haben, um diese in den meisten Fällen zu inji*zieren (was, freundliche Erinnerung, aktiviert iststandardmäßigIn WordPress -Umgebungen für Administrator Benutzer)!

Ein Verkehrsinspektionsprogramm kann sehr hilfreich sein, um diese Dateien aufzuspüren.Einige Antivirenprogramme werden auch Warnungen für diese böswilligen Dateien generieren.

Wie man säubern und verhindern:Entfernen Sie den böswilligen Code, ändern Sie alle Zugriffspunktkennwörter, aktualisieren Sie alle Software auf der Website und installieren Sie alle Sicherheitspatches.Wenn es sich um WordPress handelt, verbieten Sie die Dateibearbeitung.Sie möchten außerdem einen Sicherheits -Scan für andere Hintertoors oder andere Malware ausführen, die möglicherweise auf der Website vorhanden sein können.

PHP -Dateiänderung

Diese Art von Kreditkarten -Swiper kann etwas schwieriger zu verfolgen sein, da im Browser nichts tatsächlich angezeigt wird.PHP ist eine serverseitige Programmiersprache im Gegensatz zu JavaScript, der Browser-Seite ist.Alle böswilligen Spielereien ereignen sich auf dem Server, auf dem sich die Website befindet.

Hier ist eine, die auf eine WordPress / WooCommerce -Website abzielt, die in einer Plugin -Datei "wpuserCleaner" eingereicht wurde:

Wie Sie sehen können, verwendet nicht alle Malware eine schicke Hose -Codierung, und dieser ist meistens nur im Klartext mit Ausnahme des Exfiltrationsziels.Es ist jedoch auch sehr häufig, dass eine fortgeschrittene und komplizierte Verschleierung verwendet wird:

Diese eine Session.php -Datei in einer gefährdeten Magento -Website.Mit dieser Art von Malware benötigen die Angreifer auch in einer geringen Eigenschaft Zugriff auf das Dateisystem oder müssen eine Sicherheitsanfälligkeit ausnutzen, mit der sie darauf zugreifen können.Dies kann alles von einem verletzten Administratorkonto in bestimmten CMS -Plattformen, einem gefährdeten FTP-, CPANEL- oder Hosting -Konto -Passwort oder sogar einer infizierten Laptop/Workstation sein, die zur Verwaltung der Website verwendet wird.

Kompromittierter Server

Der mit Abstand verheerendste und katastrophalste Typ von Kreditkartenwiper tritt auf, wenn die Angreifer den Server, auf dem sich die Website befindet, vollständig übernehmen und rooten ".Das Nachverfolgen dieser Art von Infektion ist sehr schwierig und erfordert die Verwendung von sehr spezialisierten SSH -Tools wie z. B.Fingerfinden.

Zum Glück sind diese sehr selten und treten nicht oft auf, da sie eine sehr schwerwiegende Sicherheitsanfälligkeit in der Serversoftware oder zu dem Zugriff auf das Root -Konto des Servers erfordern, das Angreifer die vollständige Kontrolle über sie gewährt.Diese sind in der Regel am häufigsten auf virtuellen privaten Servern (VPS) da sie normalerweise die am wenigsten professionell verwalteten Umgebungen sind (aufgrund der Website -Administratoren selbst, die Aktualisierungen und Patches anwenden müssen, anstatt den Hosting -Anbieter).

Was wir mit dieser Art von Malware gesehen haben, ist, dass die Angreifer einen oder mehrere der Binärdateien auf dem Server ersetzen und die Kreditkartendaten auf die Exfiltrationsdomäne oder IP ihrer Auswahl verabschieden lassen, die alle im Hintergrund heimlich erfolgen.Ein weiterer Grund, warum diese Art von Angriff so verheerend ist, besteht darin, dass sie in der Lage ist, Transaktionsdetails einzulegen, die in die auf der Website verwendeten Form eingegeben wurden.Dies gilt sogar für Zahlungsdienste, die die Transaktion selbst abwickeln, von der der Webmaster glaubt, dass sie ausdrücklich gegen Swipere und andere Sicherheitsprobleme immun sind.Alle auf der Website eingegebenen Zahlungsinformationen werden beeinträchtigt.

Wie man säubern und verhindern:Migrieren Sie die Website -Dateien und die Datenbank auf einen neuen Server und nukieren Sie die alte aus dem Orbit, installieren Sie alle Sicherheitspatches und Updates, bevor Sie die Website bereitstellen.Verwenden Sie keine Passwörter, Binärdateien oder SSH -Tasten vom alten Server.Stellen Sie immer sicher, dass Sicherheitspatches so bald wie möglich ausgestellt werden.

Lassen Sie uns überprüfen: Wie werden Websites gehackt?

Dies ist natürlich eine komplizierte Frage, die zu beantworten ist, da es so viele Schwachstellen und Möglichkeiten gibt, wie ein Kompromiss auftreten kann, aber sie tendiert auf diese Hauptpunkte zurück:

Verletzliche Software, die auf der Website verwendet wird
Brute -Force -Angriffe / gefährdete Passwörter
Mangel an guten Sicherheitspraktiken seitens der Website -Eigentümer

Es ist erwähnenswert, dass Angreifer dazu neigen, nach niedrig hängenden Früchten zu suchen.Die meisten Angriffe sind automatisiert und verfolgen einfach alle Websites mit bestimmten Schwachstellen, die in ihnen vorhanden sind.Hier kommt das Gesetz der Durchschnittswerte ins Spiel: Je mehr Websites Sie Kompromisse eingehen können, desto höher ist die Wahrscheinlichkeit einer erfolgreichen Kapitalisierung.

Davon abgesehen habe ich (mehr als ein paar Mal) Malware gesehen, die an einem gezielten Angriff auf bestimmte Websites involviert zu sein scheint.In der Tat war einige Malware, die ich gesehen habe, für bestimmte Websites ein Zweck.Dies geschieht fast universell mit Kreditkarten-Swiperen auf Websites mit mittlerem Markt und über dem Level.Die Angreifer wissen, dass, wenn sie eine größere E -Commerce -Website kompromittieren können, die viele Verkäufe ausführt, die Belohnungen möglicherweise enorm sein werden.

Es ist auch erwähnenswert, dass die Guten 100% der Zeit gewinnen müssen, während die Bösen nur einmal gewinnen müssen.

Verwundbarkeitsressourcen

Die folgenden Websites sind großartige Ressourcen, wenn Sie mehr über Online -Kreditkartendiebstahl und andere Sicherheitsprobleme auf der Website erfahren möchten:

https://cve.mitre.org- Diese Online -Datenbank aller bekannten Schwachstellen ist der zentrale Standort im Web für solche Informationen.Wenn es in einer Software eine bekannte Verwundbarkeit gibt, wird sie hier aufgeführt.
https://www.wpvulndb.com- Diese Website ist speziell für WordPress vorgesehen, in dem alle bekannten Plugin- und Themen -Schwachstellen sowie bekannte Schwachstellen in den WordPress -Kerndateien in früheren Versionen aufgelistet sind.
https://wpscan.com- Ein sehr nützliches WordPress Security -Scan -Tool.
https://magereport.com- Diese Website eignet sich hervorragend zum Scannen von Magento -E -Commerce -Websites.Es werden fehlende Sicherheitspatches aufgelistet, die identifiziert werden können, unabhängig davon, ob die Website die aktuellste Version von Magento sowie alle auf JavaScript -basierten Kreditkarten -Swipers ausführt, die sie finden kann.
https://blog.sucuri.net- Du bist schon hier, also weißt du es schon.
https://sitecheck.sucuri.net-Dies ist unser Remote-Website-Sicherheitsscanner, der den nach außen gerichteten Code auf einer Website durchkämmt und alles meldet, was bösartig ist (für das wir eine Unterschrift geschrieben haben), die es sehen kann.Ich würde empfehlen, diesen Scan auf einer Website auszuführen, bevor Sie einen Kauf tätigen. Er speichert möglicherweise Kopfschmerzen.

Ich bin ein E -Commerce -Website -Eigentümer: Wie kann ich mir verhindern, dass ein Angriff mir stattfindet?

Sicherheit kann niemals ernst genug genommen werden.Am wichtigsten ist, dass es von Anfang an ein Problem sein sollte.Meisten.

Wenn Sie eine Website sicher halten, kann ich nicht lügen, ich werde nicht lügen, aber das ist viel besser als die Alternative.Konzentrieren Sie sich auf diese wichtigen Punkte

Halten Sie alle Software auf der Website auf dem neuesten Stand. Dies kann manchmal eine tägliche Aufgabe sein
Verwenden Sie starke Passwörter, vorzugsweise lang und zufällig generiert in einem Passwort -Manager, der gesperrt ist
Begrenzen Sie den Zugriff auf Verwaltungsbereiche (verwenden Sie 2FA und eine IP -Zulasseliste).
Über eine sichere Hosting -Umgebung verfügen: Begrenzen Sie die Anzahl der Websites in einer einzelnen Hosting -Umgebung und sicherstellen
Erwägen Sie die Installation von Sicherheits -Plugins, um Ihre allgemeine Haltung zu verbessern
Setzen Sie Ihre Website hinter eine WebsiteFirewall

Wenn Sie keinen Teil dieser Schritte haben oder sich davon von diesem überfordert fühlen, empfehle ich möglicherweise eine verwaltete E -Commerce -Lösung wie Shopify oder Etsy, um fast alles für Sie abzudecken.Managed Hosting - und sogar unsere eigenen Sicherheitslösungen - können dazu beitragen, einen Teil der Ladung zu lindern, wenn Sie die zusätzliche Kontrolle wünschen und sich dazu verpflichten, ein Teil der Verteidigung gegen Angriffe zu sein.

Bleiben Sie dranWeitere Informationen zur Website -Sicherheit!

Online -Kreditkartendiebstahl - ein kurzer Überblick über Online -Betrug und Missbrauch - Teil 2 (2024)