חדשות מג'נטו

אתרי מג'נטו על הכוונת של קבוצת MageCart

MageCart הוא שם שניתן לתריסר קבוצות של פושעי סייבר המתמקדים באתרי מסחר אלקטרוני במטרה לגנוב מספרי כרטיסי אשראי ולמכור אותם בשוק השחור. קבוצות אלו הינן איום הולך וגובר על בעלי אתרי מסחר, לרבות אתרי מג'נטו. MageCart משתמשים בטכניקות חדשות כדי להתחמק מזיהוי ונטרול. 
 
באתר Sucuri ניתן למצוא תיאור מקרה בו בעלי אתר מסחר אלקטרוני מג'נטו נגוע מאוד, ממנו נגנבו פרטי כרטיס האשראי. הפעולות הראשוניות של Sucuri היו להסיר כמות עצומה של תוכנות זדוניות, כולל שישה סוגים שונים של אמצעים לגניבת כרטיסי אשראי מאתרי מג'נטו. הלקוח השתמש בגרסה ישנה של מג'נטו שלא הצליח לשדרג אותה: גירסת מג'נטו הייתה כמעט בת 7 וחסרה המון תיקוני אבטחה. למרבה הצער זה נפוץ מדי בתחום מג'נטו מכיוון שמקובל שבעלי עסקים משלמים הון עבור אתר מקודד בהתאמה אישית ואז אין להם מספיק כסף כדי לשכור את היזם ברגע שהאתר שלהם הופך למיושן ופגיע. Sucuri מציינים כי זה יכול לעלות בין 5,000 ל -50,000 דולר להעביר אתר מג'נטו 1 (שסיים את חייו בשנת 2020) למג'נטו 2 מאובטח. עבור הרבה בעלי אתרי מג'נטו זה פשוט בלתי אפשרי. מה שגרוע יותר הוא ש- ADOBE (הבעלים של CMS הקוד הפתוח של מג'נטו, ככל הנראה במאמץ להכריח את בעלי האתרים לשדרג) אכן העבירה את תיקוני האבטחה של מג'נטו 1 למצב בלתי מקוון. הם עדיין זמינים ב- Github אך לא ממקור רשמי.
 
אחת הטקטיקות בהן משתמשים האקרים מקבוצת Magecart היא הטמעת פרטי כרטיס אשראי בקבצי תמונה בשרת, כדי למנוע חשד. מאוחר יותר ניתן להוריד אותם באמצעות בקשת GET פשוטה. אחת השיטות השימושיות ביותר של Sucuri במציאת זנים חדשים של תוכנות זדוניות שלא זוהו בעבר, היא בדיקת תקינות הליבה של הקבצים על מנת לבדוק אם נוספו או הוחלפו קבצי ליבה של מג'נטו. אם קיים חוסר התאמה (קוד או קבצים שנוספו, שונו או הוסרו) בודקים את הסיבה. בנוזקות של Magecart, הקבצים הנגועים צריכים להיות מעורבים איכשהו בתהליך הקופה כדי לעבוד. התוקפים אינם יכולים להדביק סתם קובץ אקראי מכיוון שהם צריכים לטפל במידע הכולל תשלום. Sucuri מציינים כי במקרה הנוכחי, הוסיפו התוקפים "ערפול" על חלקים מהקוד - שכבה המקשה על זיהוי הקוד הנגוע.
 
MageCart הינם איום הולך וגובר על אתרי מסחר אלקטרוני בכלל ועל אתרי מסחר מקוון של מג'נטו בפרט. מנקודת מבטם של התוקפים: התגמולים גדולים וההשלכות אינן קיימות. הון נעשה בגניבה ומכירה של כרטיסי אשראי גנובים בשוק השחור. למעשה, השוק השחור מתפקד כמו השוק הלגיטימי: מפתחי תוכנה מוכרים ערכות פריצה ונוזקות למי שרוצה להרוויח מאתרי מסחר בלתי מאובטחים, עד כדי כך שתמיכה טלפונית, צ'אט ודוא"ל ניתנם ללקוחות פליליים אלו שמטרתם לנצל אתרים פגיעים למטרות רווח. לאחר שמתקבלים פרטי כרטיס האשראי הגנובים הם נמכרים בשוק השחור לצרכנים פליליים.
 
מכיוון שיותר ויותר מסחר מתנהל באופן מקוון Sucuri מצפים שההתקפות על אתרים יגדלו ויותר האקרים ייכנסו לתחום של MageCart. העובדה שלא נדיר ש- Sucuri רואים אתרי מסחר נגועים עם מספר סקריפטים לגניבת כרטיסי אשראי שונים, ככל הנראה מרמזת כי אתרים פגיעים ממוקדים על ידי מספר קבוצות שונות בו זמנית. נקודה אחת שיש לציין היא כי לא רק קבוצות מבצעות התקפות מסוג זה, יש גם בודדים הפועלים בתחום, מה שהופך את מספר השחקנים בפועל לגבוה ובלתי אפשרי לחיזוי.
 
מומלץ מאד: לעדכן את אתר מג'נטו ולהתקין את כל עדכוני התוכנה בהקדם האפשרי, להשתמש בסיסמאות ארוכות ומורכבות, להשתמש בתחנות עבודה מאובטחות לניהול אתר מג'נטו, להשתמש בסביבת אחסון אתרים מאובטחת, לנעול את לוח הבקרה עם אמצעי הגנה נוספים, לאחסון את אתר מג'נטו מאחורי חומת אש כדי למנוע התקפות. חשוב מאד לזכור כי כל כונן קשיח עלול להיכשל, כל מסד נתונים עלול לקרוס וכל חוק אבטחה ניתן להפרה. המטרה צריכה להיות שיהיו כמה שיותר כללי אבטחה כך שאם אחד נכשל, אחרים עדיין יכולים לעמוד במתקפה. אין ספק כי הדבר אינו יוצר חוויה נוחה של ניהול אתרים, אבל זה טוב יותר מאשר לסבול מהשלכות של סיכוני אבטחה ופרצות אבטחה!