Återförsäljare i Mellanöstern och Afrika står för ett större antal offer för webbskimmingsattacker, men med en liten bråkdel av det totala antalet konsumentoffer.

I den senaste upptäckten av en sådan attack, en oberoende forskare påstår sig ha avslöjat Webbskumningskod på en iscensättningsserver för klädbutikssajten Khaadi, baserad i Pakistan och Förenade Arabemiraten. Koden upptäcktes under en undersökning av en webbskimmingsattack på en annan webbplats, ett tyskt fotbollslags, med en sökning på hela Internet som avslöjade 1,800 XNUMX andra potentiella intrångsplatser.

Upptäckten understryker att webbskimmingsattacker, även kända som Magecart-attacker, fortsätter att vara ett hot, säger den oberoende cybersäkerhetsforskaren Gi7w0rm (Gitworm). Magecart är termen som används för attacker som placerar kortskimmer på e-handelssajter för att stjäla betalkortsinformation.

"Webbskimmingsattacker är fortfarande en sak eftersom de fortfarande genererar brottslingarna tillräckligt med pengar för att vara livskraftiga inkomstvektorer", säger han. "Och den lätthet med vilken aktörer kan kompromissa med ett stort antal webbbutiker för att få giltiga CC-data [kreditkort] bidrar verkligen till det."

För det mesta, Magecart attackerar är relativt sällsynta i Mellanöstern och Afrika. Medan MEA-regionen har en yngre befolkning som lättare använder teknik och handlar online, är de mindre benägna att använda traditionella kreditkort och mer benägna att använda modern mobilbetalningsteknik. Dessutom har nordamerikanska och europeiska kreditkortskonton vanligtvis en bättre avkastning på investeringen för cyberbrottslingar.

Mellanöstern och Afrika står för mindre än 2 % av alla stulna kreditkort. Källa: Inspelad Future

Trots detta är regionen inte immun mot dessa attacker. Av nationerna i Mellanöstern och Afrika hamnar Turkiet – som ofta ingår i både Europa- och MEA-regionerna – på listan över topp-10 län som drabbats av skumningsattacker, rankas trea på listan och står för 5.5 % av alla upptäckter, enligt data som samlats in av cybersäkerhetsföretaget ESET. 

"Magecart webbskimmerattacker är inte särskilt riktade", säger Ondrej Kubovič, en säkerhetsevangelist med ESET. "Gruppen bakom dem är ute efter pengar, så de är inte särskilt kräsna och kompromissar vanligtvis med så många e-butiker på så många platser som de kan nå via den attackvektor de väljer. Naturligtvis är angriparna förmodligen villiga att investera mer tid och ansträngning för att kompromissa med större e-butiker, eftersom avkastningen på investeringen för dem är potentiellt högre, även om säkerheten för dessa webbplatser är lite bättre än säkerheten för deras mindre konkurrenter.”

Kompromissade kort

Sammantaget står Mellanöstern och Afrika för mindre än 2 % av alla inträngda kreditkort som upptäcktes 2023, enligt data från hotintelligence-företaget Recorded Future. Landet med de mest utsatta korten, Sydafrika, såg en dramatisk minskning (42 %) till 280,000 80,000 komprometterade kort som skickades till Dark Web-kortbutiker, medan den femte mest riktade nationen, Egypten, såg en fyrdubbling till 1 67 i antalet medborgarkort som läggs ut på nätet. (Recorded Future klassificerar Turkiet som en del av Europa. Om det grupperades med MEA, skulle det rankas som nummer 2023 på den listan, efter en ökning med XNUMX % av kompromissade kort XNUMX.)

"I slutändan betyder regionala marknadsskillnader sannolikt att bedragare uppfattar register i vissa regioner som att de har mer eller mindre värde för bedrägerier än de som utfärdas i andra regioner," sade Recorded Future i "Årlig underrättelserapport om betalningsbedrägerier: 2023. "

Attackerna är sannolikt inte av geopolitisk karaktär och fokuserar vanligtvis bara på att tjäna pengar på möjligheten att infoga kod på webbplatser, säger David Alves, säkerhetsanalytiker på Jscrambler.

"Vi kan se en ökning av inriktning på regioner med växande digitala ekonomier och mindre mogna cybersäkerhetsmetoder", säger han. "Men i allmänhet går angripare efter priset, inte platsen."

Magecart försvar

Skimmingattacker kommer att bli svårare att upptäcka med mer sofistikerade undanflyktstekniker, vilket tvingar webbplatsägare att ta bättre hand om säkerheten på sina webbplatser och tredjepartskoden de använder.

Angripare riktar sig mot populära tredjepartskomponenter för att träffa ett stort antal offer med en enda attack, säger Jscrambler's Alves.

"Angripare riktar sig mot den "svagaste länken" i försörjningskedjan, som vanligtvis är den leverantör som har minst resurser tilldelade cybersäkerhet, säger han. "Den här typen av attack ökar också hotaktörernas potentiella avkastning på investeringar, eftersom den tillåter dem att rikta in sig på flera företag i bara en attack."

Plug-ins och tredjepartskomponenter som innehåller sårbarheter missbrukas huvudsakligen i cyberattacker, så e-handelsföretag bör endast köra korrigerade komponenter och inaktivera plugins med kända sårbarheter. Sårbarheter i WordPress-plugin-program, till exempel, kan påverka tiotusentals webbplatser, vilket gör dem attraktiva för Magecart-grupper och därför viktiga att korrigera snabbt.

Dessutom bör webbbutiker se till att de har en innehållssäkerhetspolicy (CSP) implementerad i sina sidrubriker, som begränsar hur vissa webbläsarfunktioner som JavaScript och CSS kan användas. Slutligen kan webbplatsskannrar avgöra om några skript når ut till okända eller skadliga webbplatser. 

"Olöst mysterium"

Forskaren G17w0rm rapporterade webbskumningskoden till både Khaadi och Pakistans Computer Emergency Response Team (PK-CERT), den 2 januari, med en uppföljning den 7 januari. Ingen av organisationerna svarade, säger han.

"Från och med idag förblir dessa underdomäner av Khaadi äventyrade," säger han. "Detta kan ses och bevisas när du öppnar en av de berörda domänerna, lägger något i korgen och går till kassasidan." 

Han noterade att webbsidorna som påverkas av koden för närvarande inte verkar användas av återförsäljaren, vilket gör det mindre troligt att kunderna påverkas. "Det är ett olöst mysterium för mig varför det finns flera fungerande webbbutiker på Khaadi.com-domänen, men eftersom jag inte kunde prata med dem kan jag inte riktigt få en inblick", säger han.

Återförsäljaren returnerade inte en e-postbegäran om kommentar skickad av Dark Reading.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/magecart-adds-middle-east-retailers-to-long-list-of-victims