رئيس التحرير
محمد صلاح

أسلوب جديد لسرقة تفاصيل البطاقات المصرفية عبر الإنترنت

البطاقات المصرفية
البطاقات المصرفية
هل الموضوع مفيد؟
شكرا
كتب
الكاتب

اكتشف باحثون في كاسبرسكي أسلوبًا جديدًا لسرقة تفاصيل البطاقات المصرفية التي يستخدمها المتسوقون في مواقع التسوق الإلكتروني عبر الإنترنت. واستطاع مجرمو الإنترنت استخدام هذا الأسلوب في نوع شائع من الهجمات يُعرف باسم "التزوير المالي للويب".

ونجح مجرمو الإنترنت في جمع تفاصيل بطاقات المتسوقين المصرفية عن طريق التسجيل في حسابات خدمة Google Analytics الخاصة بتحليلات الويب، وإدخال الشفرة الخاصة بتتبع هذه الحسابات في الشفرة المصدرية لموقع التسوّق، وتحديدًا صفحة السداد المالي لقيمة المشتريات. ووجد خبراء كاسبرسكي أن نحو عشرين متجرًا عبر الإنترنت في أنحاء العالم جرى اختراقها باستخدام هذه الطريقة.

وتُعدّ عملية التزوير المالي للويب Web skimming، ممارسة شائعة يستخدمها المهاجمون لسرقة تفاصيل البطاقة المصرفية، كبطاقات الائتمان، التي يُدخلها المتسوقون في صفحات السداد الخاصة بالمتاجر الإلكترونية، إذ "يحقن" المهاجمون أجزاء من شفرة محددة في الشفرة المصدرية لموقع ذلك المتجر.

وتجمع هذه الشفرة الخبيثة البيانات التي أدخلها المتسوقون، بما فيها بيانات المصادقة على الدخول إلى الحساب المصرفي وأرقام البطاقة المصرفية، وتُرسلها إلى العنوان الذي حدّده المهاجمون في تلك الشفرة الخبيثة.

وغالبًا ما يسجّل المهاجمون النطاقات بأسماء تشبه خدمات تحليلات الويب الشائعة، مثل Google Analytics، لإخفاء حقيقة أن صفحة الويب قد تعرضت للاختراق، ما يصعّب على مسؤول الموقع إدراك أن الموقع تعرّض للاختراق عندما يُدخلون الشفرة الخبيثة فيه.

 فعلى سبيل المثال، من السهل أن يُنظر إلى موقع باسم googc-analytics[.]com بوصفه اسمَ نطاق رسميًا سليمًا.

واكتشف باحثو كاسبرسكي حديثًا، مع ذلك، تقنية لم تكن معروفة في السابق لتنفيذ هجمات التزوير المالي للويب، إذ أعاد المهاجمون توجيه البيانات إلى حسابات Google Analytics رسمية بدلاً من توجيهها إلى مصادر خارجية، وكل ما كان عليهم فعله، بعد تسجيل حساباتهم على Google Analytics، تهيئة معامِلات تتبع الحسابات لتلقي معرِّف خاص بالتتبّع، ثم حقن الشفرة الخبيثة مع معرِّف التتبع في الشيفرة المصدرية لصفحة الويب، ما يسمح لهم بجمع بيانات حول الزوار وإرسالها إلى حساباتهم في Google Analytics.

ومن الصعب على المسؤولين إدراك أن الموقع تعرّض للاختراق، نظرًا لأن البيانات لا تُوجَّه إلى مصدر خارجيّ مجهول، بل إن أولئك الذين يفحصون الشفرة المصدرية، ستبدو لهم وكأنها الصفحة متصلة بحساب Google Analytics رسمي، وهي ممارسة شائعة تتبعها متاجر التسوق عبر الإنترنت.

كذلك استخدم المهاجمون أيضًا تقنية شائعة لمكافحة التصحيح البرمجي لزيادة صعوبة اكتشاف النشاط التخريبي، إذ لن تُنفّذ الشيفرة الخبيثة إذا ما أقدم مسؤول الموقع على مراجعة الشفرة المصدرية لصفحة الويب باستخدام "نمط المطور".

وعُثر على ما يقرب من عشرين موقع ويب مخترق بهذه الطريقة، بينها متاجر إلكترونية في أوروبا وأمريكا الشمالية والجنوبية.

وقالت ڤيكتوريا ڤلاسوڤا المحلل الأول للبرمجيات الخبيثة لدى كاسبرسكي، إن هذا الأسلوب في سرقة تفاصيل البطاقات المصرفية "لم يُشاهد من قبل"، واصفة إياه بـ "الأسلوب الفعال".

وأضافت: "تُعدّ Google Analytics واحدة من أكثر خدمات تحليلات الويب شيوعًا، إذ تثق بها الغالبية العظمى من المطورين والمستخدمين، ما يعني أن مسؤولي المواقع يمنحونها الإذن مرارًا وتكرارًا لجمع بيانات المستخدمين، الأمر الذي يجعل عمليات الحقن الخبيثة التي تحتوي على حسابات Google Analytics، عمليات غير مثيرة للريبة ويسهل إغفالها، لذلك يجب على مسؤولي مواقع الويب ألا يفترضوا أن وجود مصدر خارجي في شفرة مواقعهم أمر مقبول لمجرد أن المصدر رسمي".

هل الموضوع مفيد؟
شكرا
اعرف / قارن / اطلب
banky best banking website in egypt 2022 awards from international business magazine

جائزة أفضل موقع لمقارنة الخدمات المصرفية في مصر لعام 2022 من مجلة انترناشونال بيزنس

Best Banking Comparison Site in Egypt 2022 from International Business Magazine

 Best Banking Services Comparison Site in Egypt 2023 from World Business Outlook Magazine

جائزة أفضل موقع مقارنة خدمات بنكية في مصر لعام 2023 من مجلة وورلد بيزنيس أوت لوك

Best Banking Services Comparison Site in Egypt 2023 from World Business Outlook Magazine

 Most Innovative Banking Awareness Portal Egypt 2023 from International Financial Magazine

بوابة التوعية المصرفية الأكثر ابتكارًا في مصر 2023 من مجلة انترناشونال فاينانشال

Most Innovative Banking Awareness Portal Egypt 2023 from International Financial Magazine

Most Trusted Banking Services Comparison Site Egypt 2023​ from Global Business Review Magazine

موقع مقارنة الخدمات البنكية الأكثر موثوقية في مصر 2023 من مجلة جلوبال بيزنس ريفيو

Most Trusted Banking Services Comparison Site Egypt 2023​ from Global Business Review Magazine

Most Trusted Banking Services Comparison Site Egypt 2023​ from Global Business Review Magazine

موقع مقارنة الخدمات البنكية الأكثر موثوقية في مصر 2023

Most Reliable Banking Comparison Website in Egypt

Most Trusted Banking Services Comparison Site Egypt 2023​ from Global Business Review Magazine

القيادة في التثقيف البنكي في مصر 2023

Leadership in Banking Education - Egypt 2023

Most Trusted Banking Services Comparison Site Egypt 2023​ from Global Business Review Magazine

الموقع الأكثر تأثيراً في مقارنة خدمات ومنتجات البنوك في مصر 2023

Most influential website in comparing banking services and products - Egypt 2023