Yonathan Klijnsma dari RiskIQ pada grup yang meretas toko ABS-CBN
- keren989
- 0
Dalam Tanya Jawab ini, kami membahas pembelajaran dari RiskIQ, yang telah melacak operasi Magecart selama beberapa tahun terakhir
MANILA, Filipina – Menyusul laporan tanggal 19 September mengenai peretasan toko online ABS-CBN dan UAAP, kami ingin mempelajari lebih lanjut tentang kelompok di balik peretasan tersebut.
Peretas dari grup Magecart menyematkan malware di etalase ABS-CBN. Malware mengumpulkan informasi kartu kredit dari pengguna saat checkout.
Peneliti keamanan Belanda Willem De Groot, yang menemukan pelanggaran tersebut, mengatakan bahwa malware tersebut ada di etalase toko pada atau sebelum 16 Agustus 2018, yang berarti malware tersebut telah mengumpulkan data setidaknya selama sebulan sebelum ditemukan.
Dalam Tanya Jawab ini, kami membahas pengetahuan perusahaan keamanan siber RiskIQ, yang telah memantau operasi Magecart selama beberapa tahun terakhir. Berbicara kepada kami adalah Yonathan Klijnsma, peneliti utama RiskIQ.
T: RiskIQ mengatakan bahwa pelaku di balik peretasan toko ABS-CBN adalah kelompok yang dikenal sebagai Magecart. Bisakah Anda menjelaskan lebih lanjut apa itu Magecart bagi pembaca kami? Apakah itu koperasi peretasan atau sejenis organisasi kejahatan dunia maya yang berasal dari suatu negara atau sekelompok negara?
Yonathan Klijnsma: Magecart adalah nama umum untuk 6 kelompok kriminal yang menargetkan situs e-commerce online untuk mencuri informasi kartu kredit.
T: Berapa lama RiskIQ memantau semua aktivitas online terkait Magecart?
kamu: Kegiatan pertama yang kami ketahui terjadi pada awal tahun 2015, namun kami memiliki indikator bahwa kegiatan tersebut aktif bahkan pada tahun 2014.
T: Apakah Magecart memiliki gaya atau metode khas tertentu yang mereka ikuti?
kamu: Ada beberapa metode operasi (MO) untuk kelompok yang berbeda.
“Gaya” yang konsisten di antara kelompok-kelompok ini sebagian besar adalah mengambil semua konten formulir dari halaman checkout.
Cara mereka melakukan hal ini bervariasi dari satu kelompok ke kelompok lainnya – beberapa kelompok mengambil formulir apa pun, yang lain secara eksplisit mencari informasi pembayaran dan mengonfirmasinya terlebih dahulu.
T: Pandu kami melewati serangan Magecart. Apa yang dilakukan Magecart untuk mencuri informasi pribadi dan kartu kredit? Bagaimana mereka menghubungkan diri mereka ke situs web yang sudah ada untuk mencuri informasi?
kamu: Serangan Magecart dimulai dengan langkah yang sangat umum: melanggar organisasi yang mereka targetkan.
Mereka mendapatkan akses, yang dapat melalui penggunaan:
- Kredensial bawaan
- Kredensial pelanggaran data publik dan non-publik
- Memanfaatkan perangkat lunak server yang ketinggalan jaman seperti penyangga
- Memanfaatkan instalasi CMS lama seperti instalasi Magento lama
Begitu masuk, tergantung pada proses checkoutnya, mereka akan memasukkan dirinya ke halaman yang benar atau cukup memasukkan kode skimmernya ke halaman mana pun.
Banyak penerapan skimmer yang memeriksa secara manual apakah pengunjung ada di halaman checkout dan informasi pembayaran tersedia.
T: Apakah ada cara bagi perusahaan atau layanan untuk melindungi diri dari metode serangan mereka?
kamu: Mereka memerlukan visibilitas terhadap permukaan serangan Internet mereka, yang tidak dimiliki banyak organisasi.
Di RiskIQ, kami memiliki sudut pandang unik dalam pelacakan Magecart, karena kami hanya mengunjungi situs web seolah-olah kami adalah pengunjung sebenarnya. Segera setelah kami membuka situs web, kami akan melihat skimmer aktif, hal ini menciptakan insiden di sistem kami yang kami tampilkan kepada klien yang kami pantau situs webnya.
T: Apakah ada target lain di Filipina, atau apakah ada situs atau layanan Filipina lain yang disusupi oleh kelompok tersebut?
kamu: Ada banyak sekali kompromi yang tidak masuk akal. Kami tidak dapat secara eksplisit menyebutkan korban mana yang berada di Filipina, karena operator tidak selalu menggunakan domain level teratas atau negara tempat mereka beroperasi.
T: Selain ABS-CBN, RiskIQ mengatakan perusahaan lain yang terkena serangan Magecart termasuk Ticketmaster, British Airways, dan Newegg.
Berapa banyak perusahaan yang terkena serangan Magecart sejak RiskIQ mulai melacaknya?
kamu: Jumlahnya sudah melewati 20 hingga 30 ribu dan saya yakin jumlahnya akan lebih tinggi lagi karena cara beberapa grup beroperasi.
T: Bagaimana situs e-commerce dapat memitigasi kerusakan akibat serangan cyber semacam ini?
kamu: Praktik keamanan umum yang baik, tetapi juga melakukan pemeriksaan integritas tambahan.
Salah satu opsinya adalah memantau server Anda untuk segala jenis modifikasi file.
Salah satu pendekatan yang diambil RiskIQ di sini adalah kami memantau semua sumber daya, baik yang dihosting secara lokal atau jarak jauh, dan setiap kali ada perubahan, kami memberi tahu klien tentang perubahan ini, yang kemudian dapat ditandai sebagai tidak berbahaya atau tidak.
T: Menerima serangan yang tidak terhindarkan yang memengaruhi pembelanja online, metode atau langkah selanjutnya apa yang dapat diambil oleh rata-rata pengguna untuk mengurangi dampak peretasan seperti ini setelah dipublikasikan?
kamu: Minta bank Anda untuk menerbitkan kartu baru, tetapi pertimbangkan juga untuk menyiapkan langkah-langkah verifikasi tambahan pada rekening giro Anda.
Bank tidak selalu mengaktifkan ini secara default, namun Anda dapat menambahkan langkah kedua ke proses pembayaran di mana Anda harus memberikan bukti tambahan untuk pembayaran tersebut.
Dengan cara ini, meskipun kartu Anda diabaikan, pembayaran tidak dapat dilakukan karena penyerang tidak dapat melakukan autentikasi langkah kedua ini (seperti autentikasi dua faktor atau autentikasi kata sandi satu kali). – Rappler.com
Informasi lebih lanjut tentang serangan Magecart sebelumnya dapat ditemukan di seluruh Blog resmi RiskIQ.