Magecart：クレジットカード所有者にとっての新たな脅威

最近、RiskIQとFlashpointによってリリースされた複合レポートで、いくつかのオンライン犯罪グループによって実行された活動に新たな光が当てられました。 これらのグループはJavaScriptを使用してカードの詳細をスキミングし、RiskIQの研究者によってMagecartと名付けられています。 彼らは過去3年間活動しています。

一部の人にとっては、これは混乱を招く可能性があります。以前は、2016年に検出された最初の攻撃でハッキンググループによってインストールされたマルウェアを表すためにMagecartが使用されていました。現在、Magecartの名前は、7つのハッキンググループの活動を定義するために使用されています。

また読む：クレジットカードとATMスキマーをバイパスする方法は？

キーポインタ：これらのデジタルカードスキマーは、物理的なカードスキマーのように機能し、それらによって実行される攻撃の種類は「クロスサイトスクリプティング」として知られています。

Magecartとは何ですか？

この質問では、Magecartは誰ですか/誰ですか？ そのような方法を使用している人の総称ですか？ これらの広範囲にわたる攻撃から保護され続けるために何ができるでしょうか？ 上昇。

これらの企業によって提出された59ページのレポートでは、Magecartは総称として定義されており、現在、7つの異なるサイバー犯罪グループが認識されています。 それらのすべてには、独自の戦術、ターゲット、スキマー、およびその他の要素があります。

Magecartが使用する5人の敵

これらのグループは、ブリティッシュエアウェイズ、チケットマスター、その他の有名な目的地をターゲットにした最近まで、約3年間見過ごされていましたが、注目を集めました。

Magecartのグループへの洞察

グループ1： 2015年に特定され、これまでに2,500人の犠牲者をターゲットにしています。 このグループは、コンピューター化されたツールを使用してサイトを侵害し、スキマーコードをアップロードします。

グループ2 ：2016年後半に、グループ1はMagecartグループ2として機能し始めたため、1つに統合されました。 このグループは自動化されたツールを使用しています。

グループ3 ：2016年以来、研究者はこのグループに注目しています。

グループ3は、多数の犠牲者を攻撃するために可能な限り詳細を収集することを目的としています。 現在までに800人以上の犠牲者が危険にさらされています。 このグループは、URLをチェックする代わりに別のアプローチを取り、チェックアウトページのフォームにカードデータが含まれているかどうかをチェックします。 これにより、他のMagecartグループと比較した場合にユニークになります。

グループ4 ：高度なグループ。通常のWebトラフィックと混同して、分析プロバイダーや広告プロバイダーなどをコピーすることで、目に見えない場所に隠れてドメインを登録しようとします。

グループ5 ：このグループは主にサードパーティのサービスプロバイダーを対象としています。 2016年に初めて見られ、12人以上の犠牲者が出ました。

グループ6：このグループは、単純なスキマー技術を使用し、ブリティッシュ・エアウェイズなどの一流企業を対象としています。

グループ7 ：このリストの最後のグループには、定義された手口がありません。 このグループは、検出されたeコマースグループを危険にさらそうとします。 さらに、侵害されたサイトは、盗まれたデータのプロキシとして利用されます。

Magecart攻撃はどのように発生しますか？

Magecartグループによって実行されるすべてのハッキングは確立されており、パターンに従います。 ハッカーがオンラインストアのバックエンドにアクセスするために使用する最初のステップは、脆弱性を検索し、感染したシステムにアクセスすることです。

これと同じアプローチがMagecartによってMagentoストアをターゲットにするために使用されました。 この攻撃を実行するために、ハッカーは自動スキャナーを使用してオンラインでMagentoストアを検索し、MagentoCMSの脆弱性を使用して感染したシステムを入手しました。

情報が収集されると、ハッカーはサイトのソースコードを変更し、チェックアウトページの支払いフォームを監視してユーザーが入力した新しいデータにアクセスするJavaScriptをロードしました。

Webスキミングアクティビティのタイムライン

Magecartに攻撃された企業

• Magento
• PertaShop
• OpenCart
• カスタムコーディングされたプラットフォーム

これに加えて、一部のグループは店の直後に行かないことも観察されています。 代わりに、チャットウィジェット、サポート、評価ウィジェットなどのサイト上のサードパーティサービスを対象としています。

ハッカーはこれらのサードパーティサービスをどのように使用しますか？

脅威アクターは中立的な立場を見つけ、悪意のあるJavScriptコードをこれらのウィジェットに隠してスキミングします。 これは、最近最も大きなMagecartハックが行われた方法です。

最近の妥協点は次のとおりです。

• チケットマスター
• ABS-CBN
• Feedify

盗まれたカードの詳細はどのようにお金に変換されますか？

盗まれた詳細は、現金化できない場合は役に立ちません。 したがって、カードの詳細をお金に変換するためにMagecartグループが採用する最も簡単な方法は、カードフォーラム、つまりダークウェブフォーラムで販売することです。

通常、サイバー犯罪者やマネーロンダリングを専門とする他のグループは、そのような詳細の購入に関心があります。 彼らは、マネーミュールと呼ばれるカードの詳細を使用して高価な製品を購入し、それらを安い価格で他の場所に販売し、その価格を侵害されたカードからマネーロンダリングされたお金に変換してラバグループのメンバーに分配します。

Magecartグループの数はいくつですか？

現在、7つのMagecratグループがRiskIQによって追跡されています。 大まかな見積もりによると、これらのグループは11万を超えるさまざまなショップでのハッキングの責任を負っています。

これらのハッキングはどのように実行されましたか？

• これらのグループは、個人や求職者をだまして、盗まれたカードを介して購入した商品を発送させます。
• オンラインサイトを大量にターゲットにしますが、高級店には近づかないでください
• 各グループには、異なるスキマーとサーバーインフラストラクチャがあります
• チェックアウトページは、スキマーがチェックアウト用のページのソースコードを確認することで識別されます
• これらのグループは、自動化されたツールを使用して、侵害されたサイトを特定します
• RiskIQによると、これらのグループの一部は、オンラインストアのハッキングに入る前からバンキング型トロイの木馬を開発していた可能性があります。
• スキマーコードが大きすぎるため、本物のチェックアウトフォームの上に偽のフォームを表示することで機能します。 さらに、セキュリティ研究者がそれを調べるのを防ぐための分析防止アクションが含まれています
• このグループの目的は、可能な限り多くのデータを収集することであり、通常、サードパーティのサービスプロバイダーの背後にあります
• スキマーコードは通常、URLキーワードに基づいてアクティブ化されます
• グループは注目を集めるターゲットの後にのみ行きます

保護を維持する方法は？

1. 支払いを行う前に、ブラウザ内でJavaScriptを無効にしてください。 この方法により、カードスキミングコードが実行されなくなり、Magecart攻撃が防止されます。
   
2. 注意してください、疑わしい活動のためにあなたの銀行とクレジットカードの明細書/口座をチェックしてください。
3. このタイプの攻撃は引き続き発生します。 したがって、私たちは賢く行動する必要があります。 Advanced Identity Protectorなどのツールは、IDの盗難からカードの詳細を保護するのに役立ちます。 さらに、それはあなたのアイデンティティを保護するのを助けるために保護の追加の層を追加します。

これらの小さなことを念頭に置くことで、スキミングやその他の種類のデジタル攻撃から保護され続けることができます。 あなたがこれがあなたのオンラインショッピング体験に影響を与えると思っているなら？ 最新のeコマースプラットフォームのほとんどは、JavaScriptが無効になっている場合でも機能するように設計されているため、考えないでください。

必読： Chromeからクレジットカード情報を無効にする方法

あなたのデータセキュリティは最も重要なので、それに焦点を合わせてください。

共有された情報がおもしろくて参考になったと思います。 もしそうなら、それを他の人と共有し、私たちにコメントを残してください。 あなたのフィードバックは、私たちがあなたが好きなものとあなたが私たちに何を書いて欲しいかを知るのに役立ちます。