Kredi Kartı Bilgilerine Yönelik Saldırılarda Artış

Küresel ölçekte faaliyet gösteren tanınmış bir ödeme şirketi, siber suçluların müdahale ettikleri sunuculara “web shells” yükleyerek çevrimiçi mağazalardan çalışan kullanıcı bilgilerini ifşa ettiklerini kaydetti. Komut dosyası veya yazılım olarak hazırlanan web shells, güvenlik bariyeri aşılan sunuculara uzaktan uygulanan kod ve kumandalara erişim sağlamak ve yönetmenin yanı sıra bir bilgisayar ağına kötü amaçlı yazılımlar yüklemek için kullanılan araçları temsil ediyor.

Tanınmış ödeme şirketi, geride kalan bir yıl içerisinde web shells araçlarının giderek artan düzeyde kullanıldığına ve “kredi kartı sıyırıcısı” olarak da bilinen JavaScript tabanlı komut dosyaları ile daha fazla sayıda çevrimiçi sayfaya saldırı düzenlendiğine işaret etti. Komut dosyası çevrimiçi mağazaya yüklendikten sonra ödemeler ve tüketiciler hakkında kişisel/finansal bilgilere erişilebiliyor, ardından genellikle bu bilgiler siber dolandırıcıların kontrolündeki bir sunucuya aktarılıyor.

2020 yılı boyunca incelenen saldırılarda siber korsanların kumanda ve kontrol (C2) oluşturabilmek için web shells kullandıkları bilgisi paylaşılırken geçtiğimiz yıl içinde çevrimiçi mağazaların web shells kullanılan 45 saldırıya maruz kaldığı, bilişim teknolojileri (IT) alanında ise bu sayının daha fazla olduğu düşünülüyor.

Web shells’in e-ticaret sayfalarını hedef alan Magecart saldırılarında kullanıldığı ve bu sayede sunucularda arka kapı oluşturularak bir C2 sistemi kurulduğu belirtiliyor. Böylelikle e-ticaret sayfalarından elde edilen bilgiler sızdırılabiliyor.

Siber korsanlar çevrimiçi mağazaların sunucularına sızmak için güvenliği yetersiz idari altyapıdan e-ticaret uygulamalarına ve web sayfası eklentilerine kadar birçok yöntemi kullandığının altı çiziliyor. Bir diğer sıkça kullanılan yöntem, güvenlik güncellemesi eski çevrimiçi mağazaları hedef almak.

Sunucularda arka kapı açıyor 

Elde edilen bilgiler geçtiğimiz Şubat ayında Microsoft Defender Advanced Threat Protection (ATP) ekibi tarafından doğrulandı. Microsoft, geçtiğimiz yıl web sayfalarının sunucularına kurulan web shells sayısının iki katına çıktığını belirtti.

ATP ekibi, siber korsanların müdahale ettiği sunucularda Ağustos 2020 ile Ocak 2021 arasında her ay ortalama 140.000 kötü amaçlı araç tespit edildiğini açıkladı. Microsoft, 2020 raporunda Temmuz-Aralık 2019 arasında 46.000 farklı olaydan derlenen bilgiler doğrultusunda her ay web shells tabanlı 77.000 saldırı tespit edildiğine dikkat çekti.

ABD Ulusal Güvenlik Ajansı (NSA), Nisan 2020’de yaptığı açıklamada siber korsanların hassas sunuculara yönelik arka kapı müdahalelerini artırdığı bilgini paylaşmıştı.

Saldırılarda tespit edilen teknikler, taktikler ve prosedürlerin siber korsanların seçtiği yöntemler arasında sadece birkaçı olduğu, ancak tanımlanan metodolojilerin başında geldiği ifade ediliyor.

Son olarak uzmanlar, pandeminin etkileri sürdüğü ve e-ticaret yoğun olarak kullanıldığı sürece web shells tabanlı saldırıların devam etmesini beklediklerini not düştü.