ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

Magecart、中東の小売業者を被害者の長期リストに追加

プラトン再発行
プラトン再発行

日付:

閲覧数: 170

中東とアフリカの小売業者は Web スキミング攻撃の被害者を多く占めていますが、消費者の被害者総数に占める割合はごく一部です。

このような攻撃の最新の発見では、独立した研究者が を発見したと主張する パキスタンとアラブ首長国連邦に拠点を置く衣料品小売サイト Khaadi のステージング サーバー上の Web スキミング コード。このコードは、ドイツのサッカー チームの別の Web サイトに対する Web スキミング攻撃の調査中に発見され、インターネット全体の検索により、侵害された可能性のある他の 1,800 のサイトが明らかになりました。

この発見は、Magecart 攻撃としても知られる Web スキミング攻撃が引き続き脅威であることを裏付けるものだと、独立系サイバーセキュリティ研究者 Gi7w0rm (Gitworm) は述べています。 Magecart は、電子商取引サイトにカード スキマーを設置して支払いカード情報を盗む攻撃に使用される用語です。

「ウェブスキミング攻撃は依然として犯罪者に有効な収入源として十分な利益をもたらしているため、依然として存在しています」と彼は言います。 「そして、攻撃者が有効な CC [クレジット カード] データを入手するために膨大な数の Web ショップを簡単に侵害できることも、間違いなくそれに貢献しています。」

ほとんどの場合、 Magecart攻撃 中東やアフリカでは比較的まれです。 MEA 地域では、若い世代がテクノロジーをより容易に導入し、オンライン ショッピングを行っていますが、従来のクレジット カードを使用する可能性は低く、最新のモバイル決済テクノロジーを使用する可能性が高くなります。さらに、北米とヨーロッパのクレジット カード アカウントは通常、サイバー犯罪者にとって投資収益率が優れています。

侵害されたクレジット カードのマップ

中東とアフリカで盗まれたクレジット カード全体の割合は 2% 未満です。出典: 記録された未来

それでも、この地域はこうした攻撃から無縁ではない。中東とアフリカの国々の中で、トルコはヨーロッパと中東地域の両方に含まれることが多いですが、スキミング攻撃の被害を受けた国のトップ 10 のリストに名を連ねており、リストの 5.5% を占めて XNUMX 位にランクされています。サイバーセキュリティ企業ESETが収集したデータによると、すべての検出が行われたという。 

「Magecart Web スキマー攻撃はあまり標的を絞ったものではありません」と ESET のセキュリティ エバンジェリストである Ondrej Kubovič 氏は言います。 「彼らの背後にあるグループはお金を狙っているため、あまり選り好みはせず、通常は、選択した攻撃ベクトルを介して到達できる限り多くの場所で、できるだけ多くの e ショップを侵害します。もちろん、攻撃者は、たとえそれらの Web サイトのセキュリティが小規模な競合他社のセキュリティよりも多少優れていたとしても、ROI が潜在的に高くなる可能性があるため、大規模な e ショップを侵害するためにより多くの時間と労力を投資するつもりでしょう。」

侵害されたカード

脅威インテリジェンス会社レコード・フューチャーのデータによると、2年に発見されたすべての侵害されたクレジットカードのうち、中東とアフリカが占める割合は全体の2023%未満だという。カードの侵害が最も多い国である南アフリカでは、ダークウェブのカードショップに投稿される侵害カードの数が 42 枚と劇的な減少 (280,000%) を記録しましたが、80,000 番目に多く標的にされている国であるエジプトでは、その数が 1 倍の 67 枚に増加しました。国民カードはオンラインで公開されます。 (Recorded Future はトルコをヨーロッパの一部として分類しています。もしトルコが MEA とグループ化されていれば、2023 年に侵害されたカードが XNUMX% 増加したことを受けて、そのリストで第 XNUMX 位にランクされることになります。)

「最終的には、地域市場の違いは、詐欺師が特定の地域の記録が他の地域で発行された記録よりも多かれ少なかれ詐欺価値があると認識していることを示している可能性が高い」とレコーデッド・フューチャーは述べた。年次支払詐欺インテリジェンスレポート: 2023 年に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

Jscrambler のセキュリティ アナリスト、David Alves 氏によると、この攻撃は本質的に地政学的なものではなく、通常は Web サイトにコードを挿入する機能を収益化することにのみ焦点を当てています。

「デジタル経済が成長し、サイバーセキュリティ慣行が成熟していない地域を標的とするケースが増加する可能性があります」と彼は言う。 「しかし一般的に、攻撃者は場所ではなく賞金を狙っています。」

マジカートの防御

スキミング攻撃は、より高度な回避技術により検出が困難になるため、Web サイト所有者は、サイトと使用するサードパーティ コードのセキュリティをより適切に管理する必要があります。

Jscrambler の Alves 氏によると、攻撃者は 1 回の攻撃で多数の被害者を攻撃するために、人気のあるサードパーティ製コンポーネントをターゲットにしています。

「攻撃者はサプライチェーンの『最も弱い部分』をターゲットにします。これは通常、サイバーセキュリティに割り当てられているリソースが最も少ないベンダーです」と彼は言います。 「このタイプの攻撃は、攻撃者が 1 回の攻撃で複数の企業を標的にできるため、潜在的な投資収益率も高めます。」

脆弱性を抱えたプラグインやサードパーティ製コンポーネントは主にサイバー攻撃で悪用されるため、電子商取引企業はパッチ適用されたコンポーネントのみを実行し、既知の脆弱性のあるプラグインを無効にする必要があります。たとえば、WordPress プラグインの脆弱性は数万のサイトに影響を与える可能性があり、Magecart グループにとって魅力的なサイトとなっているため、迅速にパッチを適用することが重要です。

さらに、Web ストアは、JavaScript や CSS などの特定のブラウザ機能の使用方法を制限するコンテンツ セキュリティ ポリシー (CSP) がページ ヘッダーに実装されていることを確認する必要があります。最後に、Web サイト スキャナーは、スクリプトが未知のサイトまたは悪意のあるサイトにアクセスしているかどうかを判断できます。 

「未解決の謎」

研究者の G17w0rm は、2 月 7 日にカーディとパキスタンのコンピューター緊急対応チーム (PK-CERT) の両方に Web スキミング コードを報告し、XNUMX 月 XNUMX 日にフォローアップを行いましたが、どちらの組織も応答しなかったと彼は言います。

「今日の時点で、Khaadi のこれらのサブドメインは侵害されたままです」と彼は言います。 「これは、影響を受けるドメインの 1 つを開いてバスケットに何かを入れてチェックアウト ページに移動すると確認でき、証明されます。」 

同氏は、コードの影響を受けるウェブページは現在小売業者によって使用されていないようで、顧客が影響を受ける可能性は低いと指摘した。 「Khaadi.com ドメインになぜ複数の Web ショップが稼働しているのかは私にとって未解決の謎ですが、彼らと話をすることができなかったので、内部の様子を実際に知ることはできません」と彼は言います。

ダーク・リーディング社からコメントを求められた電子メールに対し、小売店は返答しなかった。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.