Hacker’lar, internetten alışveriş yapanlara bu türlü saldırıyorlar

Kaspersky araştırmacıları, kullanıcıların e-ticaret sitelerindeki ödeme haberlerini çalmak için web üzerinden kart haberlerini yekuna (web skimming) olarak bilinen akın metodundan yararlanıldığını tespit etti. Google Analytics hesapları açan saldırganlar bu kodların takip kodlarını web sitelerinin kaynak kodlarına müsaadesiz yerleştirerek kullanıcıların kredi kartı haberlerini ele geçirebiliyor. Bu metotla dünya umumunda yaklaşık iki düzine e-ticaret sitesinin hücuma uğradığı belirlendi. 

Saldırganların e-ticaret sitelerindeki ödeme sahifelerinden kredi kartı haberlerini çalmak için kullandıkları web skimming ismi verilen tanınan teknikte web sitesinin kaynak koduna birtakım kod modülleri ekleniyor. Bu zararlı kod modülleri, ziyaretçilerin siteye girdiği dataları (ödeme hesaplarına giriş haberleri yahut kredi kartı numaraları) toplayıp bunları saldırganların belirttiği adrese gönderiyor. Saldırganlar web sitesinin ele geçirdiklerini gizlemek için Google Analytics üzere tanınan web analitiği hizmetlerini andıran alan isimlerine kayıt oluyor. Böylelikle site başkanının siteye zararlı kod girdiğini anlaması zorlaşıyor. Örneğin, “googlc-analytics[.]com” üzere bir site ismini yasal bir alan ismiyle karıştırmak çok kolay oluyor. 

Yakın devir evvel Kaspersky araştırmacıları, web sitelerinden kredi kartı haberlerini çalmak için daha evvel bilinmeyen bir usulün kullanıldığını da keşfetti. Bu metotta saldırganların doneyi üçüncü taraf kaynaklar tarafına resmi Google Analytics hesaplarına yönlendirdiği görüldü. Google Analytics hesabı açan saldırganlar, bu hesapların takip parametrelerini düzenleyerek bir takip kimliği alıyor. Akabinde bu takip kimliğine zararlı kodlar ekleyerek web sitesinin kaynak koduna yerleştiren saldırganlar ziyaretçilerin donelerini toplayıp direkt kendi Google Analytics hesaplarına gönderiyor. 

Datalar bilinmeyen bir üçüncü taraf kaynağına yönlendirilmediği için başkanların bu tekniği fark etmesi çok çetin oluyor. Kaynak kodu incelendiğinde sahifenin resmi bir Google Analytics hesabıyla temas kurduğu görülüyor. Bu da e-ticaret sitelerinin sıklıkla uyguladığı bir metot.

Berbat niyetli faaliyetin tespitini daha da zorlaştırmak isteyen saldırganlar, cürüm ayıklamayı önlemek için sıkça kullanılan bir teknikten de yararlanıyor. Site başkanı, Geliştirici modunu kullanarak sahifenin kaynak kodunu incelerse zararlı kod çalışmıyor. 

Avrupa, Kuzey ve Güney Amerika’da yaklaşık iki düzine web sitesinin bu yolla ele geçirildiği belirlendi. 

Kaspersky Kıdemli Zararlı Yazılım Analisti Victoria Vlasova, “Daha evvel bu aşama tesirli bir usulle karşılaşmamıştık. Google Analytics en tanınan web analitiği hizmetlerinden biri. Geliştiricilerin birden fazla bu hizmeti inançla kullanıyor ve site başkanları bu hizmetin kullanıcı donelerini toplamasına çoklukla müsaade veriyor. Bu da Google Analytics hesaplarını kullanan bu taarruzların gözden kaçırılmasını kolaylaştırıyor. Başkanlar yasal üçüncü taraf kaynaklarındaki kodların zararsız olduğunu varsaymamalı.” dedi. 

Web sitelerinden kredi kartı haberlerini çalmak için kullanılan bu yeni yol hakkında daha fazlasını Securelist sahifesinde bulabilirsiniz. 

Kaspersky mütehassısları, web skimming tekniğinden korunmak için şunu öneriyor:

Zararlı kodların çalışmasını engelleyebilen yahut Google Analytics’i devre dışı bırakabilen sağlıklı bir güvenlik tahlili kullanın.