یک عامل تهدید، یک اسکیمر وب را در تمامی صفحات وبسایت کاسیو بریتانیا (casio.co.uk) بهجز صفحه پرداخت نصب کرده است.
محققان Jscrambler یک کمپین اسکیمر وب را کشف کردند که چندین وبسایت، از جمله کاسیو، را هدف قرار داده است. بر اساس تحقیقات، حداقل ۱۷ سایت قربانی شدهاند، اما ممکن است این تعداد با ادامه تحقیقات افزایش یابد. به نظر میرسد مهاجمان از آسیبپذیریهای موجود در فروشگاههای الکترونیکی مبتنی بر Magento سوءاستفاده کردهاند.
جزئیات حمله
این اسکیمر بین ۱۴ تا ۲۴ ژانویه ۲۰۲۵ در وبسایت کاسیو بریتانیا فعال شد و در تاریخ ۲۸ ژانویه شناسایی گردید. پس از اطلاعرسانی توسط Jscrambler، کاسیو در کمتر از ۲۴ ساعت کد مخرب را از وبسایت خود حذف کرد.
بر خلاف حملات رایج اسکیمر که صفحات پرداخت (Checkout) را هدف قرار میدهند، این حمله در تمامی صفحات بهجز صفحه پرداخت مستقر شده است. اسکیمر مستقیماً در صفحه اصلی (Homepage) قرار داده شده و فاقد هرگونه مبهمسازی (Obfuscation) بود.
طبق گزارش Jscrambler:
“لودر اسکیمر بهراحتی در صفحه اصلی یافت میشد و برخلاف روشهای رایج، هیچگونه مبهمسازی نداشت. این اسکریپت مانند یک لودر اسکریپت شخص ثالث عادی به نظر میرسید که از یک المان اسکریپت غیرهمزمان (Asynchronous) استفاده میکرد و منبع آن به موقعیت اسکیمر تنظیم شده بود. این اسکریپت قبل از اولین اسکریپت موجود در صفحه بارگذاری شده و بهمحض اجرا، خودش را از صفحه حذف میکرد.”
مکانیزم حمله اسکیمر
لودر اولیه اسکیمر که در صفحه اصلی قرار داشت، یک اسکیمر مرحله دوم را بارگذاری میکرد. این اسکیمر دارای چندین لایه مبهمسازی شامل رمزگذاری سفارشی برای تغییر دادهها بین قربانیان و تکنیک XOR برای جلوگیری از شناسایی بود.
روش سرقت اطلاعات
- اسکیمر هنگام کلیک روی گزینه پرداخت در صفحه سبد خرید (Cart Page) فعال میشود.
- یک فرم پرداخت جعلی را در یک پنجره مودال نمایش داده و اطلاعات کاربران را سرقت میکند.
- این فرم ۳ مرحلهای برای سرقت اطلاعات شخصی و پرداخت طراحی شده است:
- مرحله اول: درخواست ایمیل، کشور، نام و نام خانوادگی، آدرس، شهر، کد پستی و شماره تلفن.
- مرحله دوم: نمایش هزینههای حملونقل و درخواست کلیک روی دکمه “ادامه”.
- مرحله سوم: درخواست اطلاعات کارت اعتباری شامل شماره کارت، نام دارنده، تاریخ انقضا و CVV.
- با کلیک روی دکمه “پرداخت کن” (Pay Now) یک پیام هشدار جاوا اسکریپت نمایش داده میشود:
“لطفاً اطلاعات صورتحساب خود را بررسی کرده و مجدداً تلاش کنید.” - پس از کلیک روی OK، فرآیند استخراج داده فعال شده و کاربر به صفحه پرداخت واقعی “/checkout” هدایت میشود.
- این نوع حمله در استاندارد PCI DSS v4 بهعنوان “حمله اسکیمر دو مرحلهای (Double-Entry Skimming Attack)” شناخته میشود.
رمزگذاری و ارسال دادههای سرقتشده
- اسکیمر دادههای دزدیدهشده را با استفاده از رمزگذاری AES-256-CBC رمزگذاری میکند.
- برای هر درخواست، یک کلید و IV منحصربهفرد تولید میشود.
- دادههای رمزگذاریشده همراه با کلید و IV به سرور مهاجمان ارسال میشود.
- اطلاعات سرقتشده شامل آدرسهای صورتحساب، جزئیات کارت اعتباری، شماره تلفن و آدرسهای ایمیل کاربران است.
مشکلات سیاست امنیتی محتوا (CSP) در وبسایت کاسیو
Jscrambler اعلام کرد که وبسایت Casio UK دارای سیاست امنیتی محتوا (Content Security Policy – CSP) در حالت “فقط گزارش” (Report-Only Mode) بدون تنظیمات مسدودکننده بود.
بهجای جلوگیری از حمله، CSP فقط نقضهای امنیتی را در کنسول مرورگر ثبت میکرد.
بر اساس گزارش:
“حادثه اسکیمر Casio.co.uk نشان میدهد که باوجود سادگی نسبی CSP، مدیریت آن دشوار تلقی میشود. بسیاری از شرکتها به دلیل پیچیدگیهای مدیریت، CSP را در حالت گزارشدهی (Report-Only) قرار میدهند که بخش عمدهای از امنیت را از بین میبرد.”
عامل تهدید و سرورهای اسکیمر
- تمامی اسکیمرهای استفادهشده در این حمله از یک سرویس میزبانی روسی دانلود شدهاند.
- کدهای مورد استفاده در دامنههای مختلف شباهتهایی دارند، که احتمالاً نشاندهنده استفاده از یک ابزار مشترک یا عامل تهدید یکسان است.
- برخی دامنهها بهتازگی ثبت شدهاند، اما دارای سوابق تاریخی هستند، که نشان میدهد مهاجمان از دامنههای قدیمی غیرفعال برای ایجاد اعتبار استفاده کردهاند.
نتیجهگیری:
این حادثه نشان میدهد که نقص در سیاستهای امنیتی محتوا (CSP) میتواند به مهاجمان امکان نفوذ به وبسایتها را بدهد. شرکتها باید CSP را بهدرستی پیکربندی کرده و از راهحلهای خودکار برای تأمین امنیت اسکریپتهای خود استفاده کنند. Jscrambler پیشنهاد میکند که از Webpage Integrity برای مدیریت و ایمنسازی اسکریپتهای وبسایت استفاده شود.
یک نظر