Magecart skimmer je sofisticiran napad koji primarno cilja e-trgovine diljem svijeta iskorištavajući razne ranjivosti u sustavu kako bi ukrao privatne i osjetljive podatke korisnika. U ovom seminaru su predstavljeni ključni aspekti Magecart skimmer napada: što je, kako funkcionira i koga pogađa.

Detaljno su analizirana i objašnjena 2 primjera stranica zaraženih Magecart skimmerom kako bi se bolje prikazao njegov način rada tj. napada. Također su prikazane novije napredne mogućnosti Magecart skimmera: izbjegavanja otkrivanja u virtualnoj mašini, dinamičko ubacivanje koda i izbjegavanje otkrivanja u razvojnim alatima.

Na kraju seminara je objašnjeno kako se zaštititi od Magecart skimmera i koje su dobre sigurnosne prakse, što na strani servera tj. firme čija je stranica na Internetu, a što sa strane klijenta tj. korisnika tih stranica. Također su navedeni izvori koji vode na stranice s dodatnim informacijama i detaljnim analizama Magecart skimmer napada.

U današnjem modernom i tehnološkom dobu gotovo svaka trgovina ima svoju digitalnu verziju trgovine. Digitalne verzije trgovina postaju sve popularnije i imaju sve veći udio u broju ostvarenih kupovina u odnosu na fizičke verzije trgovina. Magecart skimmer predstavlja jednu veliku i ozbiljnu prijetnju upravo tim e-trgovinama.

Magecart skimmer, koji je ime dobio po platformi za e-trgovine Magento, je vrsta kibernetičkog napada koji primarno napada e-trgovine mnogih firmi kako bi ukrala privatne bankovne podatke njihovih kupaca i korisnika i najčešće preprodala te podatke na raznim ilegalnim stranicama na Dark Webu.

Cilj ovog seminara je predstaviti što je Magecart skimmer, kako funkcionira, koga pogađa te će biti spomena kako se može zaštititi od njega. Također će se analizirati dva stvarna primjera sa zaraženih stranica i razne tehnike koje su napadači koristili tijekom provođenja napada. Time će se prikazati kompleksnost napada i zašto je on bio (ili još uvijek je) tako uspješan kibernetički napad.

Magecart skimmer je vrsta napada koja je najčešće implementirana u JavaScriptu, a baziran je na e-skimmingu. E-skimming je vrsta kibernetičkog napad koji ubacuje maliciozan kod na web stranicu s ciljem da presretne korisnikove osjetljive informacije kada ih upisuje na stranicu i pošalje napadaču. Točno to radi Magecart skimmer. On ima više verzija učitavanja malicioznog koda na stranicu, provedbe napada te eksfiltracije tih podataka.

Prvotno je bio kreiran za e-trgovine koje su bazirane na platformi Magento, ali s vremenom se proširio i prilagodio mnogim drugim stranicama, a u nekim verzijama je i neovisan o stranici jer se maliciozni kod dinamički „ubacuje“ na stranicu. Primarna namjena Magecart skimmera je prikupljanje privatnih i osjetljivih informacija poput brojeva kreditnih kartica, imena, prezimena, adresa i drugih osobnih podataka koji se unose prilikom kupovine u e-trgovinama. Vrlo često se maliciozni kod izvršava u žrtvinom pregledniku tj. efektivno „žrtva sama sebe napadne“ i zato je otežano pravovremeno otkrivanje Magecart napada.

Magecart skimmer funkcionira na principu da bude što manje primjetan pri učitavanju svog koda na web-stranicama. Istovremeno kako se Magecart skimmer učitava, on se i sakriva i rijetko kada se prikazuje u svom potpunom deobfusciranom obliku, tj. često bude obfusciran i nejasan kod koji je u potpunosti vizualno sakriven, ali i „zakopan“ u kodu stranice na razne načine. Time se otežava otkrivanje skimmera bez utjecaja na funkcionalnost stranice čime ga se još teže može otkriti. Magecart skimmer je „evoluirao“ s vremenom pa neke varijacije imaju „sposobnost“ detekcije okruženja u kojem se izvode. Ako varijacije Magecart skimmera otkriju da se izvršavaju u virtualnoj mašini ili da se koristi Inspector mode ili razvojni alati u pregledniku, onda se može obrisati sa stranice, nikada ne infiltrirati stranicu ili prikazivati razne lažne greške u radu programa s ciljem odbijanja ljudi da ne pregledavaju kod stranice.

Postoje 3 glavna koraka u svakom Magecart skimmer napadu: infiltracija, implantacija i eksfiltracija podataka.

Infiltracija podrazumijeva „ubacivanje“ malicioznog koda na web-stranicu, a neki od načina su:

• kompromitiranjem samih servera te stranice,
• kompromitiranjem biblioteka treće strane (engl. third party library) koje se koriste na tim stranicama,
• kroz ranjivosti treće komponente poput raznih datoteka.

Implantacija je „implementiranje“ tog koda da funkcionira na web-stranici i odrađuje maliciozni posao te sakuplja osjetljive i privatne podatke žrtava. To se događa na razne načine, a neki su:

• kreiranje lažne forme za upisivanje bankovnih podataka koja se postavi preko originalne forme,
• kreiranje lažne forme koja se prikaže prije originalne forme (koja se inače otvara u novom i sigurnom prozoru koje iniciraju banke),
• preusmjeravanje korisnika da ispune lažnu formu u novom iframe okviru,
• sakupljanje podataka preko keyloggera koji je učitan na stranicu,
• sakupljanje podataka tijekom pritiska na tipku „Submit“ (ili ekvivalentnu) prije predaje podataka legitimnom serveru.

Zadnji korak je eksfiltracija podataka što podrazumijeva neki način prijenosa podataka od servera ili žrtvinog preglednika do napadača ili nekog njegovog servera. Eksfiltracija se isto može izvesti na više načina, a neki od njih su:

• POST zahtjev koji u sebi ima 1 naizgled običnu sliku koja zapravo u sebi ima Base64 kodirane privatne žrtvine podatke,
• spremanje privatnih podataka u 1 sliku koja se sprema u bazu podataka i onda napadač povremeno pristupi toj slici i preuzme ukradene podatke,
• aktivno slanje podataka tijekom upisivanja na stranicu (korištenjem keyloggera),
• slanje podataka nakon što žrtva pritisne na tipku „Submit“ (ili ekvivalentnu) u isto vrijeme kada se šalje i legitimni zahtjev pa se tako maliciozni sakriva,
• kreiranje lažnog HTML IMG elementa koji u sebi ima izvor postavljen kao napadačev server, a kao neki drugi atribut tog elementa postavi privatne žrtvine podatke koje onda napadač preuzme u obliku slike.

To su samo neke mogućnost glavnih koraka Magecart skimmer napad, a neki od njih će biti pobliže objašnjeni u primjerima.

Magecart skimmer je dobio ime kao kombinacija 3 riječi, Magento i shopping cart. To mu je ime dano jer je inicijalno napadao platformu Magento koja se bavi e-trgovinama.

Platforma Magento je platforma za e-trgovinu otvorenog koda (engl. open source) napisana u PHP-u gdje mnogi korisnici mogu jednostavno kreirati vlastitu e-trgovinu. Sustavi koji su bazirani na platformi Magento čine čak 0.7% Interneta tj. 1.5 milijardi web stranica i imaju preko 155 milijardi dolara prometa godišnje (izvor 1). Time je očito koliko je platforma Magento popularna i zašto je ona velika meta za napadače.

Prvi napadi koji su ličili na ono što danas nazivamo Magecart skimmer su otkriveni još 2010., ali prvi „veliki“ napad je proveden u svibnju 2015. (izvor 2). Tada je napad bio revolucionaran i dugo neotkriven jer je više od 6 mjeseci žrtvama trebalo da otkriju da su privatni podaci njihovih kupaca kompromitirani. Glavna ranjivost koja se tada iskorištavala je SUPEE 5344 (izvor 3) koja uparena sa Magentovom popularnošću u svijetu e-trgovina je kreiralo veliku ranjivost u svijetu e-trgovina. Tako se u prosincu 2015. dogodila kompromitacija preko 3000 e-trgovina (koje su koristile platformu Magento) i to je samo napredovalo kroz godine pa je u 2022. SanSec identificirao preko 70000 kompromitiranih trgovina (izvor 4) koje su u nekom trenutku imale digitalni skimmer.

Naravno, Magecart skimmer ne pogađa samo e-trgovine koje su bazirane na platformi Magento, već pogađa i mnoge druge poput WooCommerce, PrestaShop, OpenCart i BigCommerce. Na slici broj 1 je prikazana mjesečna distribucija sigurnosnih proboja koristeći neku varijantu Magecart skimmera na platformama za e-trgovine.

Slika 1: Mjesečna distribucija sigurnosnih proboja koristeći Magecart skimmer na platformama za e-trgovine, Izvor

Na slici broj 2 je prikazana mjesečna količina novo dodanih potpisa (eng. malware signatures) raznih varijacija Magecart skimmera između kolovoza 2020. i travnja 2022. Prosječno se dnevno dodaje 30 potpisa varijacija Magecart skimmera što pokazuje njegovu aktualnost u kibernetičkom svijetu. Potpis je jedinstveni niz podataka ili uzoraka , poput niza okteta, hash vrijednosti ili specifičnog uzorka koda, koji jedinstveno identificira neki kod ili datoteku. Sigurnosni alati poput antivirusnih programa koriste te potpise kako bi brže prepoznali i blokirali prijetnje.

Slika 2: Količina mjesečno dodanih potpisa varijacija Magecart skimmera između kolovoza 2020. i travnja 2022, Izvor

Sve ovo nam pokazuje da je Magecart skimmer krenuo lagano, ali je uspostavio veliku prisutnost i sigurnosnu opasnost na Internetu.

Magecart skimmer, kao što je već spomenuto u uvodu, odnosi se na sve vrste meta, od pojedinaca koji imaju vlastitu e-trgovinu do velikih firmi koje imaju e-trgovine ili stranice na Internetu. Male i srednje firme te privatni pojedinci koji imaju vlastite trgovine često su primarne mete jer napadači računaju da oni nemaju jako razrađenu sigurnost vlastite e-trgovine i da vrlo vjerojatno nisu u potpunosti samostalno napisali kod za nju. Također računaju da koriste razne isječke kodova (od trećih ili četvrtih strana) za razne dodatne funkcionalnosti svojih stranica ili da koriste platforme koje im nude sve te mogućnosti za njihove stranice. Upravo tu se Magecart skimmer često uspijeva “ubaciti”. Velike firme su također meta, ali su puno teže za uspješno napasti zbog raznih sigurnosnih sustava i antivirusnih programa koje imaju implementirano. Bez obzira na to, one su ipak velika i poželjna meta zbog velikog prometa novaca (ili povjerljivih informacija) na njihovim stranicama.

Najčešće mete su:

• Platforme za e-trgovinu: Online trgovine koje su „izgrađene“ na popularnim platformama poput Magento, Shopify, WooCommerce i mnogi drugi. Ove su platforme česta meta za Magecart skimmer jer sadrže puno različitih komponenti od raznih korisnika što direktno rezultira većom količinom ranjivosti što vodi do lakše infiltracije napadača.
• Krajnji korisnici: Pojedinci koji obavljaju bankovne transakcije ili upisuju privatne i osjetljive podatke na kompromitiranim stranicama. Njihovi podaci kreditnih kartica, imena, adrese i slično se relativno lagano mogu ukrasti i zloupotrijebiti ili prodati na Dark webu.
• Tvrtke i organizacije: Kompromitacija podataka klijenata raznih tvrtka i organizacija dovodi do velikih kazna i penala tih tvrtki, ali ujedno i do gubitka ugleda i razne pravne posljedice. Možda je u nekim slučajevima upravo to cilj Magecart skimmera, a „bonus“ su ukradeni podaci od kojih mogu dobiti dodatnu dobit.

Neki poznatiji primjeri žrtava Magecart napada su:

• British Airways (2018.): Napad je utjecao na oko 380 000 korisnika kojima su ukradeni osobni i bankovni podaci. Napadači su ubacili maliciozni JavaScript kod na stranicu, ali i na mobilnu aplikaciju ciljajući sustav za plaćanje. Skripta je automatski snimala što korisnik upisuje i to odmah slala napadaču. Napad je otkriven tek nakon 2 tjedna.
• Newegg (2018.): Korištena varijacija Magecart skimmera je naprednija i „pametna“ te je izgledom ubačenog malicioznog HTML koda jako dobro replicirala legitimni kod stranice i zato je bilo jako teško otkriti napad. Također je napadala Newegg sustav plaćanja. Napad je bio neotkriven preko mjesec dana.
• Forbes Magazine (2019.): Ovo je dobar pokazatelj da nisu mete samo firme gdje se upisuju osjetljive informacije, već i neke „obične“ firme. Ovdje se nisu pokušavali ukrasti podaci koji se upisuju na stranicu već podaci koji su spremljeni u preglednik osobe koja posjećuje stranicu.
• Segway Store (2022.): Segway napad je primjer novijeg napada, ali i također evolucije infiltracije Magecart skimmera. Kod je ubačen preko favicon slike koja je jako dugo bila neotkrivena zbog svoje jednostavnosti i neočekivane malicioznosti „obične“ favicon slike.

Kao što se vidi iz raznih primjera, Magecart skimmer pogađa veliki raspon firmi, ali ima preferenciju za e-trgovinama.

Postoje razne zakonske kazne predviđene za gubitak povjerljivih podataka klijenta. U Europi postoji GDPR (General Data Protection Regulation) koji propisuje kaznu za poduzeća ovisno o vrsti i ozbiljnosti propusta. GDPR propisuje najveću kaznu od maksimalnih 4% ukupnog globalnog prometa prethodne fiskalne godine ili 20 milijuna eura te kao kaznu uzima veće od tog dvoje (izvor 5). Osim novčane kazne, također dolazi do velikog gubitka reputacije, potencijalnog bankrota, gubitka klijenata i mnogih drugih posljedica za organizaciju.

Osim organizacija ispaštaju i korisnici tj. klijenti čiji su podaci ukradeni. Te osobe mogu imati velike financijske gubitke zbog ukradenih bankovnih podataka, ali mogu imati probleme sa zakonom zbog potencijalne krađe identiteta.

Ukradeni bankovni ili kartični podaci se često mogu naći na Dark Webu za varirajuće cijene koje direktno ovise o kupovnoj moći te kartice. Raspon cijena je od 45$ (za netestiranu karticu) do 1000$ za kreditnu karticu koja ima limit od 15000$. Osim kartica, mogu se prodavati i online računi na određenim stranicama pa se PayPal profili prodaju u rasponu od 20$ do 200$, a za neke online pretplatne servise od 1$ do 10$. Također se mogu kupiti i vozačke dozvole koje koštaju oko 20$, ali i putovnice koje koštaju između 1000$ i 2000$. (izvor 6).

Sve ovo prikazuje koliko uspješni Magecart napad može biti destruktivan na firmu tj. organizaciju, ali i na pojedinca čiji su podaci ukradeni.

Cloudflareov sigurnosni tim otkrio je sumnjivu stranicu te sukladno tome napravio analizu cijele stranice. Stranica je otkrivena jer je naizgled obična stranica tijekom početnog učitavanja preuzela skriptu od čudnog izvora. Kada se analizirala preuzeta skripta, otkriveno je da je ona obfuscirana, ali i da radi neke sumnjive stvari na stranici. No, kako je ta skripta uopće preuzeta?

Skripta je sakrivena u običnom div elementu koji se ne prikazuje korisniku što je prikazano na slici 3.

Slika 3: Neprikazani div element koji u sebi ima preuzetu obfusciranu skriptu, Izvor

To je već samo po sebi jako sumnjivo pa je tim istraživao dalje. Gledajući kod koji je preuzet, otkriva se da je on skroz obfusciran, jako teško čitljiv i naizgled besmislen (kod je prikazan na slici 4).

Slika 4: Obfuscirani kod, Izvor

Daljnjim istraživanjem je otkriveno na koju se stranicu šalju rezultati te skripte koja glasi „https://jsdelivr\[.\]at/f\[.\]php“ što je jako slično i blisko ime legitimnoj stranici „https://www[.\]jsdelivr[.\]com/“. Analizirajući stranicu na koju se šalju podaci otkriveno je mnogo toga, poput datum registracije, pokušaj mijenjanja imena za točno 1 slovo (1 slovo razlike u odnosu na legitimno ime) te da je 1337team Limited registrirao tu stranicu. 1337team Limited je poznat po registriranju raznih stranica upitne legalnosti.

Postoje 2 glavne funkcije za kodiranje i dekodiranje podataka unutar maliciozne skripte. Te skripte koriste Base64 i URL kodiranje, a to su jako česti načini za sakrivanje podataka tijekom slanja. Funkcije su prikazane na slici 5.

Slika 5: 2 funkcije za kodiranje i dekodiranje podataka, Izvor

Daljnjom analizom je otkriveno da su napadači pažljivo proučili ciljanu stranicu kako bi malicioznu skriptu bolje prilagodili stranici radi veće efektivnosti. Na 6. slici je prikazan kod koji specifično cilja polja gdje korisnik upisuje podatke kako bi te podatke spremio i oblikovao tj. „sakrio“ za eksfiltraciju.

Slika 6: Funkcije za sakupljanje i spremanje podataka Izvor

Kako bi se ukradeni podaci poslali napadačevom serveru, oni se prvo moraju „sakriti“. Sakrivanje se radi tako da se kreira novi neprikazani tj. sakriveni HTML IMG element i postavlja src atribut (atribut za postavljanje adrese odakle se preuzima taj element) na URL napadačevog servera te uz to nadodaje ukradene „sakrivene“ podatke na samu sliku radi eksfiltracije podataka.

Osim toga, skripta također ima konstantno promatranje korisnikovog upisivanja dokle god je korisnik aktivan na stranici. Upisani podaci se ujedno spremaju i u Local Storage (spremaju se u memoriju korisnikovog preglednika) radi konzistentnosti u slučaju iznenadnog gašenja preglednika (prikazano na slici 7).

Slika 7: Spremanje podataka u LocalStorage, Izvor

Ovo je bio prvi primjer relativno naprednog Magecart skimmer napada koji je specifično prilagođen određenoj stranici kako bi mogao bolje i manje primjetno ukrasti korisnikove podatke.

Ovaj primjer nam prikazuje još jednu varijaciju Magecart napada, ali ova varijacija je puno zanimljivija jer koristi 404 error stranice za sakrivanje maliciozne skripte.

Stranica je direktno zaražena od strane napadača pa se pretpostavlja da je korak infiltracije odrađen. Prije učitavanja i aktiviranja malicioznog koda, učitavač koda (eng. code loader) se pokušava sakriti u ostatak legitimnog HTML koda stranice i pokušava se prikazati kao legitimni Meta Pixel kod. Meta Pixel je poznati Metin servis za praćenje aktivnosti posjetitelja na drugim stranicama. Na slici 8 je prikazan maliciozni isječak koda i istaknut je dio koji pokušava dohvatiti neki element sa relativnog puta /icons/ koji ne postoji što rezultira 404 error stranicom.

Slika 8: Maliciozni Meta Pixel kod koji pokušava dohvatiti nepostojeći /icons/ put, Izvor

No, čemu to služi i zašto skripta namjerno pokušava dohvatiti nešto što ne postoji? Stvar je u tome što je to ciljano ponašanje ove varijacije Magecart skimmera. Nakon što se sve učita i stranica pokuša dohvatiti nepostojeći resurs, izbaciti će se 404 Not Found error što je naizgled nevino. Ono što se zapravo u pozadini događa je prikazano na slici 9. Kod sa slike se aktivira tijekom prikazivanja error stranice i on traži poklapanje sa zadanim regularnim izrazom (COOKIE_ANNOT) u HTML kodu na stranici na koju se vraća.

Slika 9: Poklapanje regularnog izraza u ostatku stranice pri prikazivanju 404 Not Found error stranice, Izvor

Daljnjim istraživanjem HTML koda stranice se otkriva zašto je ta skripta tražila točno taj regularni izraz. Na slici 10 je prikazan HTML komentar u stranici koji je dug točno 1 liniju i započinje sa COOKIE_ANNOT i dodatno sadrži Base64 kodirani tekst koji je zapravo sakriveni maliciozni JavaScript kod. Pronalaskom komentara maliciozni kod uzima Base64 kodirani tekst, dekodira ga i izvede JavaScript kod koji je zapravo Magecart skimmer napad.

Slika 10: Sakriveni COOKIE_ANNOT komentar sa Base64 sakrivenim JavaScript malicioznim kodom, Izvor

Nakon učitavanja malicioznog koda, napadač dolazi do žrtvinih podataka preko lažne forme. Napadač računa da se krađa podataka može napraviti trenutak prije nego web stranica iskoristi uslugu plaćanja treće strane koja implementira obrazac plaćanja unutar iframea ili otvaranjem novog i sigurnog prozora. Kako bi napadač to zaobišao, on kreira lažnu formu za upis podataka koja je vizualno identična stvarnoj formi i stavi ju preko originalne forme (tako se originalna forma ne vidi, ali postoji u HTML kodu) i to je vidljivo na slici 11.

Slika 11: Umetanje lažne maliciozne forme preko originalne forme za upis podataka, Izvor

Kako to izgleda kada korisnik upiše podatke u lažnu formu je prikazano na sljedećem primjeru (Slika 12). Korisnik upiše svoje podatke u lažnu formu, stranica javi kako je došlo do problema i da treba opet upisati podatke i onda opet prikaže formu. Ono što korisnik ne primijeti je da je prva forma bila lažna maliciozna forma, a druga forma je legitimna i zato će drugi pokušaj plaćanja uspjeti, a prvi će korisniku ukrasti podatke.

Slika 12: Primjer interakcije sa lažnom formom, Izvor

Što se eksfiltracije tiče, to je relativno lagano i jednostavno odrađeno. Maliciozni kod kodira sve ukradene podatke koristeći Base64 i kreira zahtjev usmjeren prema napadačevom serveru i te kodirane podatke nadoda u zahtjev kao jedan od parametara. Ako se pogleda ručno i dekodira zahtjev, vidi se što točno piše unutra tj. koji su ukradeni podaci i to je prikazano na slici 13.

Slika 13: Primjer kodiranih ukradenih podataka koji se šalju na napadačev server, Izvor

Magecart skimmer je puno napredovao od kada je napravljen i neke nove mogućnosti koje su razvijene s vremenom su: izbjegavanje otkrivanja u virtualnoj mašini, dinamičko ubacivanje koda i izbjegavanje otkrivanja u razvojnim alatima.

Jedan od ciljeva skoro svakog napada je ostati neotkriven pa je tako i Magecart napredovao kako bi postao teži za otkriti u pregledniku. Magecart skimmer koristi WebGL JavaScript API za provjeravanje u kojem se pregledniku pokreće te pokreće li se taj preglednik u virtualnoj mašini. Provjera se radi kako bi se moglo točno identificirati tko su prave potencijalne žrtve, a tko je zapravo istražitelji koji pokušava odgonetnuti kako taj napad radi.

Koristeći WebGL JavaScript API, skripta može otkriti koji se grafički prikazatelj (eng. graphics renderer ) koristi. Mnoge virtualne mašine ne koriste prave grafičke kartice već koriste softverske varijacije tih renderera što je očiti znak za napadača da se radi o virtualnoj mašini. Specifično, otkrivanjem imena poput swiftshader, llvmpipe ili virtualbox napadač postaje svjestan da se maliciozni kod izvršava u virtualnoj mašini. Google Chrome koristi Swiftshader, a Firefox se oslanja na llvmpipe kao grafički renderer kada nema pristup pravoj grafičkoj kartici, dok samo ime virtualbox otkriva da ga koristi virtualna mašina.

Na slici 14 je prikazan isječak koda na kojem je vidljivo kako se koristeći JavaScript provjerava koji je grafički renderer internetske stranice. Ovisno o tome jesu li pronađene riječi ili ne, odlučuje se kako će napad dalje ići. Ako su pronađene riječi, napad staje i ne događa se Magecart skimmer napad, no ako ih ne pronađe, onda se napad nastavlja.

Slika 14 Provjera grafičkog renderera, Izvor

Kod koji se izvršava ako se ne pronađu ciljane riječi je prikazan na slici 15.

Slika 15 Magecart skimmer kod, Izvor

Također, kod može biti prilagođen da otkriva pokreće li se na Windows ili Linux uređaju pa se tako može još bolje prilagoditi ciljanoj publici.

KKako bi Magecart skimmer bio sveobuhvatniji i općenitiji te lakši za korištenje napadačima, postoje varijacije koje su napravljene da dinamički „ubace“ unaprijed generiranu HTML formu na stranicu. Kod dinamički pronalazi odgovarajuće mjesto na stranici gdje se upisuju informacije i tamo ubacuje malicioznu formu. Na slici 16 je prikazan JavaScript kod koji dinamički ubacuje HTML formu za Magecart skimmer napad. Kod prvo identificira mjesto „ubacivanja“ kako bi povećao uvjerljivost napada. Koristeći metode createElement i appendChild nadodaje se nova maliciozna forma na stranicu bez da korisnici to primijete

Slika 16 JavaScript kod koji dinamički ubacuje HTML formu na stranicu, Izvor

Na slici 17 je prikazana stranica bez Magecart skimmera, a na slici 18 sa dinamički ubačenim Magecart skimmerom.

Slika 17 Stranica bez skimmera, Izvor

Slika 18 Stranica sa ubačenim skimmerom, Izvor

Još jedan od načina sakrivanja Magecart skimmera je izbjegavanje otkrivanja u razvojnim alatima (eng. developer tools). Cilj je što više odbiti korisnika da ne gleda HTML kod stranice koristeći razvojne i to pokušava postići raznim upozorenjima i lažnim „problemima“. Kod koji to radi je prikazan na slici 19. Kod također nadjačava (eng. override) konzolu tako da mijenja metode kako bi analitičare zaustavio u pregledavanju samog koda.

Slika 19 Kod za izbjegavanje otkrivanja, Izvor

Također je moguće raditi agresivnije verzije izbjegavanja otkrivanja poput ponovnog učitavanja cijele stranice ili prikazivanja više upozorenja i slično, no to bi sigurno bilo puno više sumnjivo.

Magecart skimmer zahtjeva složeni pristup obrani koji uključuje više od jedne procedure ili mjera za obranu. Postoji više načina obrane od Magecart skimmera, a neki će biti objašnjeni u nastavku teksta. Što se same obrane tiče, postoje dva aspekta obrane, jedan je obranu na strani firme, a drugi je obrana na strani korisnika.

Obrana na strani firme:

• Redovita nadogradnja sigurnosnih zakrpi sustava: Sigurnosne zakrpe se izdaju s razlogom i kada se objave, firme (ali i korisnici) bi ih trebali implementirati što je ranije moguće.
• Izbjegavanje korištenje starih i nezakrpanih sustava: Korištenjem starih sustava koji više nemaju sigurnosne zakrpe je veliki rizik u slučaju da se otkrije nova ranjivost koja se neće zakrpati.
• Oprezno koristiti strani kod: Neizbježno je koristiti tuđe kodove sa Interneta, ali prije nego što se koristi taj kod, treba provjeriti njegovu autentičnost i sigurnost kako bi se izbjeglo nenamjerno učitavanje malicioznih skripta. Također treba postaviti ograničenja na taj kod i čemu on sve smije pristupiti na stranici i u pregledniku.
• Implementacija barem 2FA: Implementacija barem 2 Factor Authentification (2FA) postaje de facto standard u kibernetičkoj sigurnosti, ali korištenje Multi Factor Authentification (MFA) je također preporučeno kako bi se spriječio neautorizirani pristup osjetljivim podacima ili bazama podataka.
• Automatizirano praćenje i analiziranje prometa: Treba implementirati automatizirane alate koji analiziraju mrežni promet i prijavljuju sumnjive događaje na stranici.
• Implementirati Content Security Policy (CSP): Implementacijom CSP-a administrator postavlja ograničenja na mogućnosti određenog preglednika i na izvršavanje neovlaštenih skripti te se također može postaviti lista dozvoljenih mjesta/lokacija odakle se može raditi eksfiltracija podataka.
• Sigurnosni testovi: Implementacija sigurnosnih testova na vlastitim stranicama je dobra praksa te uz korištenje raznih alata koji skeniraju i identificiraju maliciozne JavaScript kodove je jako dobar način za očuvanje sigurnosti stranice.
• Segmentacija sustava: Sustav se segmentira te treba određena razina ovlasti za pristup određenim podacima na sustavu. To se radi najčešće prema principu najmanjeg prava radi sigurnosti.
• Skeniranje klijentske strane: Skeniranjem klijentske strane i koda koji se izvršava na klijentskoj strani uveliko povećava sigurnost jer bi se tako mogao otkriti maliciozni kod koji se ne izvršava na serverskoj strani.
• Implementacija sigurnosti od početka: Sigurnost treba biti implementirana od početka, a ne biti implementirana kao naknadna misao tijekom kreiranja stranice

Obrana na strani korisnika:

• Provjera sigurnosti web stranica: Korisnici bi trebali koristiti samo HTTPS stranice koje također imaju validne certifikate radi sigurnosti.
• Upotreba virtualnih kartica: Korištenjem virtualnih jednokratnih kartica bi se u potpunosti smanjio učinak Magecart napada na bankovne informacije jer kartica službeno ne postoji nakon što se jednom iskoristi.
• Koristiti sigurne načine plaćanja: Sustavi poput PayPal, Apple Pay i Amazon Pay su sustavi koji imaju implementirane sigurnost okvire te imaju aktivno praćenje protiv krađe podatka. Također tijekom transakcija predaju minimalnu količinu podataka samim e-trgovinama radi sigurnosti i privatnosti kupaca.
• Korištenje prepaid kartica: Korištenjem prepaid kartica nije najsigurnija stvar, pogotovo ako se ukradu podaci i pogodi trenutak kada su novci na kartici no ako se kartica „nadopuni“ trenutak prije same legitimne kupovine, to je isto veći stupanj sigurnosti nego direktna kupovina sa kreditnom karticom.
• Praćenje bankovnih transakcija: Aktivnim praćenjem vlastitih bankovnih transakcija se može primijetiti je li došlo do potencijalne krađe bankovnih podataka ili ne.

Ovo su samo neke od tehnika za obranu od Magecart skimmer napada na strani firme, ali i strani klijenata. Neke tehnike su ciljano protiv Magecart skimmer napada, a neke su općenite dobre prakse za sigurnost koje također štite i od Magecart skimmer napada.

Magecart skimmer predstavlja ozbiljnu i realnu prijetnju modernom digitalnom svijetu, pogotovo u području e-trgovina. Ova prijetnja je utoliko opasnija zbog svoje konstantne evolucije u načinima provođenja napada. Osim što dovodi do financijskih gubitaka žrtava i firmi, dovodi i do gubitaka povjerenja u cijeli sustav e-trgovina i mnogih drugih problema.

Analizirajući primjere stvarnih napada jasno je koliko je Magecart skimmer opasan napad zbog efikasnog sakrivanja te preuzimanja zbog svega jedne nesigurne linije u kodu stranice. Koristeći napredne tehnike Magecart skimmer se „sakriva“ od istražitelja i otežava otkrivanje što je veliki sigurnosni problem za Internet.

Organizacije moraju kontinuirano ulagati u sigurnost ne samo svojih uređaja i servera na kojima se pokreće stranica i baze podataka, već se mora i zaštiti klijentska strana jer Magecart skimmer najčešće upravo tamo i napada. Također, osim organizacija i sami korisnici moraju biti svjesni prijetnje i trebali bi razmišljati o načinima kako bi sebe zaštitili.

Analiziranjem velike količine Magecart skimmer napada i provođenjem sigurnosnih edukacija te implementiranjem sigurnosnih sustava i raznih sigurnosnih politika se može smanjiti utjecaj Magecart skimmer napada. Time se osigurava sigurniji digitalni prostor za sve korisnike i firme.

Postoje mnogi kvalitetni izvori koji su korišteni tijekom pisanja ovog seminara i svi su navedeni u literaturi. Osim tih izvora, postoje neki nespomenuti izvori, a autor teksta ih je obradio tijekom istraživanja ove teme. Neki dobri i kvalitetni članci o Magecart skimmer napadu su:

• Generalni pregled Magecart skimmer napada i vizualizacija napada, izvor: https://blog.bushidotoken.net/2020/01/deep-dive-magecart-collective.html
• Prikaz zašto JavaScript i GitHub nisu uvijek sigurni, izvor: https://www.feroot.com/blog/magecart-and-e-skimming-why-javascript-and-github-arent-always-safe/
• Skimmer pronađen u slici na GitHub repozitoriju, izvor: https://blog.sucuri.net/2020/07/skimmers-in-images-github-repos.html
• Detaljna analiza više primjera cijelog Magecart skimmer napada, već je naveden u literaturi, ali stavljam posebni naglasak na ovaj članak jer je detaljan, izvor: https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer

Link na video o Magecart skimmeru koji vodi na OneDrive folder u kojem je video: OneDrive link

Na linku su dva videa, jedan sa titlovima i jedan bez titlova.

[1] Podaci o platformi Magento, izvor: http://webtribunal.net/blog/magento-statistics

[2] Prvi veliki Magecart napad 2015, izvor:https://sansec.io/research/widespread-credit-card-hijacking-discovered

[3] SUPEE 5344 ranjivost, izvor: https://www.ravedigital.agency/blog/supee-5344/

[4] Statistika Magecart skimmera, izvor: https://sansec.io/what-is-magecart

[5] GDPR kazne, izvor: https://gdpr-info.eu/issues/fines-penalties/

[6] Cijene ukradenih podataka, izvor: https://www.feroot.com/blog/how-magecart-e-skimming-attacks-are-accelerating/

[7] Analiza Magecart skimmera, primjer 1, izvor: https://blog.cloudflare.com/navigating-the-maze-of-magecart/

[8] Analiza Magecart skimmera, primjer 2, izvor: https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer

[9] Izbjegavanje otkrivanja u virtualnim mašinama 1. dio, izvor: https://threatpost.com/magecart-credit-card-skimmer-avoids-vms-to-fly-under-the-radar/175993/

[10] Izbjegavanje otkrivanja u virtualnim mašinama 2. dio, izvor: https://www.malwarebytes.com/blog/threat-intelligence/2021/11/credit-card-skimmer-evades-virtual-machines

[11] Dinamičko ubacivanje koda i izbjegavanje otkrivanja u razvojnim alatima , izvor: https://medium.com/@0x_b0mb3r/technical-analysis-magecart-skimmer-da099d897e38

[12] Obrana i zaštita od Magecart skimmera 1. dio, izvor: https://www.kroll.com/en/insights/publications/cyber/monitor/what-is-magecart-malware-how-to-protect-against-it

[13] Obrana i zaštita od Magecart skimmera 2. dio, izvor: https://www.feroot.com/education-center/what-is-a-magecart-attack/

[14] Obrana i zaštita od Magecart skimmera 3. dio, izvor: https://www.feroot.com/education-center/what-is-e-skimming/

[15] Obrana i zaštita od Magecart skimmera 4. dio, izvor: https://www.feroot.com/blog/how-magecart-e-skimming-attacks-are-accelerating/