Forbes' Trouble With Magecart Card-Skimmer Malware Shows Need For Proactive Defense

悪名高いMagecartクレジットカードスキマーグループは、5月14日にセキュリティ研究者Troy Murschによって投稿されたTwitterメッセージによって明らかになったように、さらにもう一つの注目を集める目標を達成することができた。脅威関係者は、雑誌の物理コピーの購読ページを危険にさらしていました。

攻撃に使用されたMagecartスキマーは、カード番号、3桁のCVV / CVCコード、有効期限、名前、住所、電話番号、および電子メールを収集していました。購読ページに挿入された悪意のあるコードはJavaScriptで書かれています。攻撃者は盗まれたデータを抽出するためにfontsawesome.gqドメインを使用しました。これは、ソースコードを調べているすべての人に、これがFontAwesomeサービスの正当なドメインに過ぎないと考えるように仕向けようとする露骨な試みで行われました。

攻撃が公開された後、forbesmagazine.comのウェブサイトは閉鎖されましたが、その一方で、FreenomのAPIによって早期発見のドメインは閉鎖されました。しかし、ForbesのWebサイトへの攻撃は、exfilドメインがシャットダウンされた後も終わったようには見えませんでした。 5月15日、Forbesの購読ページが 「ゲームを始めましょう」という不可解なメッセージとともにオンラインに戻った 。

その後数日間、ウェブサイトはオンラインとオフラインを続け、合計で約7日間のダウンタイムがありました。フォーブスはそれを修復するために第三者のセキュリティ専門家と協力して、同社は「かなり自信がある」とMagecartスキマーの影響を受けた人は誰もいなかったと述べた。しかし、Troy Mursch氏は、これが事実だと確信していないし、「サイトが侵害されている間にそのサイトで購入した場合、クレジットカード情報が盗まれた可能性が高い」とつぶやいた。

Forbesマガジンのデッドツリー版を購入した人は、疑わしい行為がないかどうか支払い明細書を確認する必要があります。また、支払いデータは数か月間ダークウェブに渡って渡される可能性があります。来る。

多くの人が積極的な防御の欠如がForbesを脆弱にしたとコメントしています。購読ページでは攻撃を防ぐことができた可能性のあるContent-Security-Policy、またはJavaScriptインジェクションを回避するための Subresource Integrityダイジェストを採用していないと人々は述べています。

Ticketmaster、Visiondirect、OXO、Newegg、およびBritish Airwaysなどの企業が注目を集めている被害者のほんの一部としてリストされているので、Magecartスキマーグループはこの時点で止められなくなったようです。一般的なサイバー犯罪、特にMagecartグループに関する広範な記事が1月にForbesのWebサイトにJason Bloombergによって投稿されたという事実を考えると、この雑誌が必要な積極的な措置を講じなかったのは皮肉なことです。顧客の機密データを保護します。

ただし、現時点では、オンライン出版物は、Adblockを使用しているのかプライベートブラウジングを使用しているのかを、それらに委ねてほしいデータを実際に保護することよりも関心が高いようです。