اكتشف باحثون في «كاسبرسكي» المتخصصة في الأمن الإلكتروني أسلوبا جديدا لسرقة تفاصيل البطاقات المصرفية التي يستخدمها المتسوقون في مواقع التسوق الإلكتروني عبر الإنترنت.
واستطاع مجرمو الإنترنت استخدام هذا الأسلوب في نوع شائع من الهجمات يعرف باسم «التزوير المالي للويب».
ونجح مجرمو الإنترنت في جمع تفاصيل بطاقات المتسوقين المصرفية من خلال التسجيل في حسابات خدمة Google Analytics الخاصة بتحليلات الويب، وإدخال الشيفرة الخاصة بتتبع هذه الحسابات في الشيفرة المصدرية لموقع التسوق، وتحديدا صفحة السداد المالي لقيمة المشتريات.
ووجد خبراء كاسبرسكي أن حوالي عشرين متجرا عبر الإنترنت في أنحاء العالم جرى اختراقها باستخدام هذه الطريقة.
وتعد عملية التزوير المالي للويب، Web skimming، ممارسة شائعة يستخدمها المهاجمون لسرقة تفاصيل البطاقة المصرفية، كبطاقات الائتمان، التي يدخلها المتسوقون في صفحات السداد الخاصة بالمتاجر الإلكترونية، حيث «يحقن» المهاجمون أجزاء من شيفرة محددة في الشيفرة المصدرية لموقع ذلك المتجر.
وتجمع هذه الشيفرة الخبيثة البيانات التي أدخلها المتسوقون، بما فيها بيانات المصادقة على الدخول إلى الحساب المصرفي وأرقام البطاقة المصرفية، وترسلها إلى العنوان الذي حدده المهاجمون في تلك الشيفرة الخبيثة.
وغالبا ما يسجل المهاجمون النطاقات بأسماء تشبه خدمات تحليلات الويب الشائعة، مثل Google Analytics، لإخفاء حقيقة أن صفحة الويب قد تعرضت للاختراق، ما يصعب على مسؤول الموقع إدراك أن الموقع تعرض للاختراق عندما يدخلون الشيفرة الخبيثة فيه.
فعلى سبيل المثال، من السهل أن ينظر إلى موقع باسم google-analytics.com بوصفه اسم نطاق رسميا سليما.
واكتشف باحثو «كاسبرسكي» حديثا، مع ذلك، تقنية لم تكن معروفة في السابق لتنفيذ هجمات التزوير المالي للويب، إذ أعاد المهاجمون توجيه البيانات إلى حسابات Google Analytics رسمية بدلا من توجيهها إلى مصادر خارجية، وكل ما كان عليهم فعله، بعد تسجيل حساباتهم على Google Analytics، تهيئة معاملات تتبع الحسابات لتلقي معرف خاص بالتتبع، ثم حقن الشيفرة الخبيثة مع معرف التتبع في الشيفرة المصدرية لصفحة الويب، ما يسمح لهم بجمع بيانات حول الزوار وإرسالها إلى حساباتهم في Google Analytics.
ومن الصعب على المسؤولين إدراك أن الموقع تعرض للاختراق، نظرا لأن البيانات لا توجه إلى مصدر خارجي مجهول، بل إن أولئك الذين يفحصون الشيفرة المصدرية، ستبدو لهم وكأنها الصفحة متصلة بحساب Google Analytics رسمي، وهي ممارسة شائعة تتبعها متاجر التسوق عبر الإنترنت.
كذلك استخدم المهاجمون أيضا تقنية شائعة لمكافحة التصحيح البرمجي لزيادة صعوبة اكتشاف النشاط التخريبي، إذ لن تنفذ الشيفرة الخبيثة إذا ما أقدم مسؤول الموقع على مراجعة الشيفرة المصدرية لصفحة الويب باستخدام «نمط المطور».
هذا، وعثر على ما يقرب من عشرين موقع ويب مخترقا بهذه الطريقة، بينها متاجر إلكترونية في أوروبا وأميركا الشمالية والجنوبية.