Analiza naruszenia British Airways odkrywa zaawansowane techniki

Analiza naruszenia British Airways odkrywa zaawansowane techniki

Naruszenie British Airways na pocz膮tku tego roku dotkn臋艂o oko艂o 380 000 klient贸w i doprowadzi艂o do kradzie偶y danych, w tym danych osobowych i finansowych.

Zesp贸艂 zajmuj膮cy si臋 badaniem zagro偶e艅 w Securonix dok艂adnie przyjrza艂 si臋 w艂amaniu i stoj膮cemu za nim zagro偶eniu Magecart, aby odkry膰, w jaki spos贸b zosta艂o ono przeprowadzone, i zaoferowa膰 wskaz贸wki dotycz膮ce 艂agodzenia i zapobiegania przysz艂ym atakom.

Kampania przeszukiwania kart wykorzystana przeciwko BA dotkn臋艂a w tym roku kilka innych powa偶nych ofiar, w tym w艂amania Ticketmaster i Newegg. Dzia艂a poprzez zainstalowanie z艂o艣liwego, dostosowanego skryptu JavaScript na stronie ofiary. Mo偶na tego dokona膰 bezpo艣rednio, nara偶aj膮c witryn臋 ofiary lub po艣rednio, przechodz膮c na kompromis z komponentem innej firmy, z kt贸rego korzysta ofiara – zast臋puj膮c oryginalny, legalny kod JavaScript z艂o艣liwym JavaScriptem.

W przypadku ataku British Airways Magecart najprawdopodobniej bezpo艣rednio zaatakowa艂 zawarto艣膰 witryny British Airways, modyfikuj膮c cz臋艣膰 kodu JavaScript na g艂贸wnej stronie internetowej, zamiast wykorzystywa膰 zainfekowan膮 stron臋 trzeci膮. Poniewa偶 aplikacja mobilna BA 艂aduje r贸wnie偶 stron臋 internetow膮 zbudowan膮 z tych samych komponent贸w CSS i JavaScript, co g艂贸wna witryna, zosta艂a r贸wnie偶 przej臋ta.

Analiza wykaza艂a, 偶e 鈥嬧媙iekt贸re wersje Magecart zawieraj膮 specjalny kod tripwire, kt贸ry wykrywa u偶ycie narz臋dzi programistycznych do przegl膮dania 藕r贸d艂a skrypt贸w i podaje adres IP, przegl膮dark臋 i stref臋 czasow膮, a tak偶e dodatkowe informacje o systemie.

Naukowcy twierdz膮, 偶e istniej膮 trzy kluczowe obszary monitorowania, kt贸re s膮 wa偶ne dla zwi臋kszenia szans na wykrycie podobnych atak贸w, a mianowicie zawarto艣膰 serwera internetowego / FIM, dzienniki punkt贸w ko艅cowych i dzienniki proxy SSL / TLS. 鈥濸ierwszy obszar jest wa偶ny dla zidentyfikowania atak贸w 艂a艅cucha dostaw i pr贸b z艂o艣liwego zagro偶enia zainstalowania z艂o艣liwej formy przechwytuj膮cej zawarto艣膰 implantu JavaScript na serwerach, a pozosta艂e dwa obszary s膮 potrzebne do zidentyfikowania aktywno艣ci implantu pracuj膮cego w u偶ytkownikach 鈥瀙rzegl膮darki鈥.

Mo偶esz dowiedzie膰 si臋 wi臋cej i pobra膰 pe艂ny raport na blogu Securonix.

Kredyt obrazu: Fasttailwind / Shutterstock