Magecart: 신용 카드 소유자를 위한 새로운 위협

최근 RiskIQ와 Flashpoint light에서 발표한 통합 보고서에서 여러 온라인 범죄 그룹이 수행한 활동에 대해 새로운 사실을 밝혀냈습니다. 이 그룹은 JavaScript를 사용하여 카드 세부 정보를 훑어보고 RiskIQ의 연구원에 의해 Magecart라고 명명되었습니다. 그들은 지난 3년 동안 활동했습니다.

2016년 처음 탐지된 해킹 그룹이 설치한 악성코드를 과거에는 Magecart라는 용어로 사용했지만 지금은 Magecart라는 이름으로 7개 해킹 그룹의 활동을 정의합니다.

또한 읽기: 신용 카드 및 ATM 스키머를 우회하는 방법?

핵심 정보: 이 디지털 카드 스키머는 물리적 카드 스키머처럼 작동하며 이들이 수행하는 공격 유형을 "교차 사이트 스크립팅"이라고 합니다.

마지카트란?

이 질문과 함께 Magecart는 누구입니까/누구입니까? 그러한 방법을 사용하는 사람을 위한 포괄적인 용어입니까? 이러한 광범위한 공격으로부터 보호하기 위해 무엇을 할 수 있습니까? 증가.

이 회사들이 제출한 59페이지 분량의 보고서에서 Magecart는 현재 7개의 서로 다른 사이버 범죄 그룹이 인정되는 포괄적인 용어로 정의됩니다. 그들 모두는 자신의 전술, 표적, 스키머 및 기타 요소를 가지고 있습니다.

Magecart가 사용하는 다섯 명의 적

이 그룹은 영국항공, 티켓마스터 및 기타 유명 목적지를 타겟팅한 후 최근까지 약 3년 동안 주목받지 못했습니다.

Magecart의 그룹에 대한 통찰력

그룹 1: 2015년에 확인된 이 그룹은 지금까지 2,500명의 희생자를 표적으로 삼았습니다. 이 그룹은 컴퓨터 도구를 사용하여 사이트를 손상시키고 스키머 코드를 업로드합니다.

2 군 : 2016년 말부터 1군이 마지카트 2군으로 활동하기 시작하여 하나로 통합되었습니다. 이 그룹은 자동화된 도구를 사용합니다.

그룹 3 : 2016년부터 연구자들이 이 그룹을 주시해 왔습니다.

그룹 3은 많은 희생자를 내기 위해 가능한 한 많은 세부 사항을 수집하는 것을 목표로합니다. 지금까지 800명 이상의 피해자가 피해를 입었습니다. 이 그룹은 URL을 확인하는 대신 다른 접근 방식을 취하고 체크아웃 페이지의 양식에 카드 데이터가 포함되어 있는지 확인합니다. 이것은 다른 Magecart 그룹과 비교할 때 독특합니다.

그룹 4 : 고급 그룹, 일반 웹 트래픽과 혼동하여 잘 보이지 않게 숨기고 분석 제공자, 광고 제공자 등을 복사하여 도메인을 등록합니다.

그룹 5 : 이 그룹은 주로 타사 서비스 제공업체를 대상으로 합니다. 2016년에 처음으로 목격되었으며 12명 이상의 희생자가 있습니다.

그룹 6: 이 그룹은 간단한 스키머 기술을 사용하고 British Airways 및 기타 회사와 같은 최상위 회사를 대상으로 합니다.

그룹 7 : 이 목록의 마지막 그룹에 정의된 작업 방식이 없습니다. 이 그룹은 탐지된 전자 상거래 그룹을 손상시키려고 시도합니다. 또한 손상된 사이트는 도난당한 데이터의 프록시로 활용됩니다.

Magecart 공격은 어떻게 발생합니까?

Magecart 그룹에서 수행하는 모든 해킹은 잘 정립되어 있으며 패턴을 따릅니다. 해커가 온라인 상점 백엔드에 액세스하기 위해 사용하는 첫 번째 단계는 취약점을 검색하고 감염된 시스템에 액세스하는 것입니다.

이 동일한 접근 방식은 Magecart에서 Magento 매장을 대상으로 하는 데 사용되었습니다. 이 공격을 수행하기 위해 해커는 자동화된 스캐너를 사용하여 온라인으로 Magento 매장을 검색하고 Magento CMS의 취약점을 사용하여 감염된 시스템을 확보했습니다.

정보가 수집되면 해커는 사이트의 소스 코드를 변경하여 사용자가 입력한 새 데이터에 액세스하기 위해 체크아웃 페이지에서 지불 양식을 주시할 JavaScript 조각을 로드합니다.

웹 스키밍 활동의 타임라인

Magecart의 공격을 받은 회사들

• 마젠토
• 페르타샵
• 오픈카트
• 맞춤형 코딩 플랫폼

이 외에도 일부 단체는 가게 바로 뒤를 따르지 않는 모습도 관찰된다. 대신 채팅 위젯, 지원, 평가 위젯 등과 같은 사이트의 타사 서비스를 대상으로 합니다.

해커는 이러한 타사 서비스를 어떻게 사용합니까?

위협 행위자는 중간 지점을 찾고 악의적인 JavScript 코드를 이러한 위젯에 숨겨 훑어 봅니다. 이것이 최근에 가장 큰 Magecart 해킹이 발생한 방법입니다.

최근 타협은 다음과 같습니다.

• 티켓마스터
• ABS-CBN
• 피디파이

도난당한 카드 정보는 어떻게 돈으로 변환됩니까?

훔친 세부 정보는 수익을 창출할 수 없으면 아무 소용이 없습니다. 따라서 Magecart 그룹이 카드 세부 정보를 돈으로 변환하기 위해 채택한 가장 쉬운 방법은 카드 포럼, 즉 다크 웹 포럼에 판매를 올리는 것입니다.

일반적으로 사이버 범죄자 및 자금 세탁을 전문으로 하는 기타 그룹은 이러한 세부 정보를 구매하는 데 관심이 있습니다. 그들이 하는 일은 머니 뮬로 알려진 카드 정보를 사용하여 고가의 제품을 구입하고 다른 위치에 저렴한 가격에 판매하여 손상된 카드의 가격을 노새 그룹 구성원에게 배포되는 세탁된 돈으로 변환하는 것입니다.

Magecart 그룹의 수는 무엇입니까?

현재 RiskIQ는 7개의 Magegrate 그룹을 추적했습니다. 대략적인 추정에 따르면 이 그룹은 110,000개 이상의 서로 다른 상점에 대한 해킹을 담당합니다.

이러한 해킹은 어떻게 수행되었습니까?

• 이 그룹은 개인과 구직자를 훔친 카드를 통해 구매한 상품을 배송하도록 속입니다.
• 온라인 사이트를 대량 타겟팅하지만 고급 상점은 피하십시오.
• 각 그룹에는 다른 스키머 및 서버 인프라가 있습니다.
• 체크아웃 페이지는 체크아웃을 위해 페이지의 소스 코드를 보고 스키머가 식별합니다.
• 이 그룹은 자동화된 도구를 사용하여 손상된 사이트를 식별합니다.
• RiskIQ에 따르면 이러한 그룹 중 일부는 온라인 상점 해킹에 들어가기 전에도 뱅킹 트로이 목마를 개발했을 수 있습니다.
• 스키머 코드가 너무 커서 정품 결제 양식 위에 가짜 양식을 표시하여 작동합니다. 또한 보안 연구원이 이를 조사하지 못하도록 방지하는 분석 방지 조치가 포함되어 있습니다.
• 이 그룹의 목표는 가능한 한 많은 데이터를 수집하는 것이며 일반적으로 타사 서비스 제공업체 뒤에 있습니다.
• 스키머 코드는 일반적으로 URL 키워드를 기반으로 활성화됩니다.
• 그룹은 세간의 이목을 끄는 대상을 쫓습니다.

보호를 유지하는 방법?

1. 결제하기 전에 브라우저 내에서 JavaScript를 비활성화하십시오. 이 방법은 카드 스키밍 코드가 실행되는 것을 방지하여 Magecart 공격을 방지합니다.
   
2. 조심하고 의심스러운 활동이 있는지 은행 및 신용 카드 명세서/계좌를 확인하십시오.
3. 이러한 유형의 공격은 계속 발생합니다. 따라서 우리는 현명하게 행동해야 합니다. Advanced Identity Protector와 같은 도구는 ID 도용으로부터 카드 세부 정보를 보호하는 데 도움이 됩니다. 또한 귀하의 신원을 보호하는 데 도움이 되는 추가 보호 계층을 추가합니다.

이러한 작은 사항을 염두에 두면 스키밍 및 기타 유형의 디지털 공격으로부터 보호받을 수 있습니다. 이것이 온라인 쇼핑 경험에 영향을 미칠 것이라고 생각한다면? 그런 다음 생각을 멈추십시오. 대부분의 최신 전자 상거래 플랫폼은 JavaScript가 비활성화된 경우에도 작동하도록 설계되었기 때문입니다.

반드시 읽어야 함: Chrome에서 신용 카드 정보를 비활성화하는 방법

데이터 보안은 가장 중요하므로 집중하십시오.

공유된 정보가 흥미롭고 유용했기를 바랍니다. 그렇다면 다른 사람들과 공유하고 의견을 남겨주세요. 귀하의 피드백은 귀하가 무엇을 좋아하고 무엇을 작성하기를 원하는지 파악하는 데 도움이 됩니다.