Saldırının Genel Çerçevesi
Uzun süredir devam eden ve özellikle Magento tabanlı e-ticaret platformları ile WordPress sitelerini hedef alan bir web skimming kampanyası, ödeme sayfalarından kredi kartı bilgilerini çalmak amacıyla gelişmiş teknikler kullanıyor. Bu saldırılar, kötü amaçlı JavaScript kodlarının ödeme sayfalarına enjekte edilmesiyle gerçekleşiyor ve kullanıcıların ödeme yaparken girdikleri kart bilgileri ile diğer kişisel veriler gizlice toplanıyor.
Kampanya, Stark Industries ve ana şirketi PQ.Hosting gibi bulletproof hosting sağlayıcılarına bağlı şüpheli alan adları üzerinden yürütülüyor. Bu hosting sağlayıcıları, yaptırımlardan kaçmak için yeniden markalaşma yoluna gitmiş durumda. Saldırganlar, cdn-cookie[.]com gibi alan adlarında barındırdıkları karmaşık JavaScript dosyaları (“recorder.js”, “tab-gtm.js” gibi) ile skimming işlemini gerçekleştiriyor.
Saldırı Zinciri ve Teknik Detaylar
Skimmer, WordPress yönetici araç çubuğu “wpadminbar” öğesini DOM üzerinde kontrol ederek, yetkili kullanıcıların varlığında kendini gizleyip yok olabiliyor. Bu yöntem, tespit edilme riskini azaltıyor. Ayrıca, Stripe ödeme seçeneği seçildiğinde tarayıcı localStorage alanında “wc_cart_hash” adlı bir işaretçi kontrol ediliyor. Bu işaretçi yoksa, skimmer sahte bir Stripe ödeme formu oluşturuyor ve kullanıcıları kredi kartı numarası, son kullanma tarihi ve CVC gibi bilgileri girmeye yönlendiriyor.
Kullanıcı sahte formu doldurduğunda, ödeme sayfası hata veriyor ve bu durum kullanıcıda ödeme bilgilerini yanlış girdiği izlenimini yaratıyor. Çalınan veriler sadece ödeme bilgileriyle sınırlı kalmıyor; isim, telefon, e-posta ve teslimat adresleri gibi kişisel bilgiler de “lasorie[.]com” sunucusuna HTTP POST yöntemiyle aktarılıyor. Veri transferi tamamlandıktan sonra skimmer, izlerini silip gerçek Stripe formunu geri yüklüyor ve “wc_cart_hash” değerini “true” yaparak aynı kullanıcıyı tekrar hedef almıyor.
Hangi Sistemler Risk Altında?
Özellikle Magento ve WordPress altyapılı e-ticaret siteleri bu saldırıdan etkileniyor. WordPress sitelerinde yönetici kullanıcıların varlığı skimmer tarafından tespit edilip saldırı gizlenirken, Magento sitelerinde ise Magecart gruplarının kullandığı teknikler benzer şekilde uygulanıyor. Stripe ödeme entegrasyonu kullanan siteler, sahte form manipülasyonları nedeniyle daha yüksek risk altında bulunuyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Ödeme sayfalarındaki JavaScript dosyalarının bütünlüğünü düzenli olarak kontrol edin.
- WordPress ve Magento gibi CMS platformlarında güncel güvenlik yamalarını uygulayın.
- EDR çözümleri ile istemci tarafı anormalliklerini ve DOM manipülasyonlarını izleyin.
- LocalStorage ve sessionStorage alanlarına şüpheli veri erişimlerini loglayarak analiz edin.
- Stripe ve diğer ödeme entegrasyonlarında form doğrulama ve CAPTCHA gibi ek güvenlik katmanları kullanın.
- Firewall ve WAF kuralları ile şüpheli alan adlarına ve IP adreslerine erişimi engelleyin.
- Olay müdahale (incident response) süreçlerinde web skimming göstergelerini içeren logları öncelikli inceleyin.
- Kullanıcı eğitimleri ile e-posta güvenliği ve sosyal mühendislik saldırılarına karşı farkındalık artırın.
Teknik Özet
- Kullanılan araçlar: Karmaşık JavaScript skimmer dosyaları (recorder.js, tab-gtm.js)
- Hedef sektörler: E-ticaret, özellikle Magento ve WordPress altyapılı siteler
- Zafiyetler: İstemci tarafı DOM manipülasyonları, ödeme formu sahtekarlığı
- Saldırı zinciri: Hosting sağlayıcı üzerinden zararlı script yükleme → Yönetici kullanıcı kontrolü ile gizlenme → Sahte Stripe formu oluşturma → Veri toplama ve dışa aktarım → İzleri temizleme
- Önerilen savunma: Güncel CMS yamaları, EDR ve SIEM entegrasyonu, ağ segmentasyonu, MFA ve WAF kullanımı
Bu gelişmiş web skimming kampanyası, ödeme güvenliği alanında yeni tehditler oluşturuyor ve kurumların ödeme altyapılarını, kullanıcı arayüzlerini ve ağ güvenlik önlemlerini gözden geçirmesini zorunlu kılıyor. Ayrıca, bulut güvenliği ve ağ segmentasyonu gibi konulara odaklanmak, saldırı yüzeyini azaltmak için kritik önem taşıyor.