Magecart Saldırı Zincirine Karşı Dikkatli Olun!

Magecart Saldırı Zincirine Karşı Dikkatli Olun!

İnternet sitelerinin %99’u Javascript’i kullanılıyor, bunların %78’i üçüncü parti scriptlerini tercih ediyor ve  %70’i 10 farklı script sağlayıcısıyla çalışıyor. Ancak Magecart gibi ödeme bilgilerini çalmayı amaçlayan saldırı teknikleri bu üçüncü parti script uygulamalarını kullanırken daha da dikkatli olunmasını gerektiriyor. Siber güvenlik alanında bölgesel lider olan Cyberwise’ın bu yıl “Ödeme Kartı Endüstrisinin Anlaşılması: Uygulama Güvenliği” teması ile gerçekleşen Ödeme Sistemleri ve Veri Güvenliği Zirvesi’nde sektör liderlerine üçüncü parti script uygulamalarının risklerini anlatan Cyberwise Denetim ve Uyumluluk Kıdemli Danışmanı Surkay Baykara özellikle Magecart saldırı zincirine karşı dikkatli olunması konusunda uyardı. Bu saldırı türünde sunucuya yetkisiz erişim sağlan saldırganlar kötü amaçlı yazılımı ödeme akışına enjekte ettikten sonra hedeflenen ödeme bilgilerini çalıyorlar. Oldukça sinsi şekilde ilerleyen ve genelde geç tespit edilebilen ilk parti ve üçüncü partilere yönelik Magecart saldırı zincirleri ödeme sayfalarını kullanan ya da bu sayfaların sahibi olan kurumları büyük zorluklar yaşamalarına neden oluyor. 

2018 yılında Ticketmaster’a yönelik gerçekleşen saldırıyı hatırlatan Surkay Baykara şunları aktardı:

“Saldırganlar Ticketmaster uygulamasında çalışan ve Inbenta firması tarafından chatbot hizmeti sunan üçüncü parti JavaScript kütüphanesine yetkisiz olarak erişmişti. Burada JavaScript içerisine zararlı kod parçacığını ekleyen saldırganlar, ödeme sayfasında da çalışan script’i tarayıcıları üzerinde çalıştırdı ve 40.000 müşterinin ödeme bilgilerini çaldılar. Bu saldırı ancak 5 ay sonra fark edilebildi ve bu zaman zarfında Inbenta’nın hizmet verdiği 800 e-ticaret sitesi de saldırıdan etkilendi. Kurumlar benzer saldırıların kurbanı olmamak için şu noktalara dikkat etmeliler:

• Uygulamanızdaki tüm üçüncü taraf JS kodlarının bir listesini oluşturun.
• Mümkün olduğunda üçüncü taraf çözümleri kullanmak yerine birinci taraf çözümlerine geçin.
• Kodun virüs veya tehlikeli talimatlar içermediğinden emin olmak için dış tedarikçilerden kod denetimi talep edin

Kurumların ayrıca PCI DSS v4.0 Gereksinim 6.4.3’e göre hareket etmeleri gerektiğini ifade eden Baykara, kullanıcıların tarayıcısında yüklenen ve yürütülen tüm ödeme sayfası komut dosyaları aşağıdaki gibi yönetilmesi gerektiğini aktardı:

• Her komut dosyasının yetkilendirildiğini doğrulamak için bir yöntem uygulanmalıdır.
• Her komut dosyasının bütünlüğünü sağlamak için bir yöntem uygulanmalıdır.
• Tüm komut dosyalarının bir envanteri, her birinin neden gerekli olduğuna dair yazılı gerekçeyle birlikte tutulmalıdır.