Skimmer

Skimmer ATM super tipis ‘Deep Insert’

September 15, 2022 by Eevee

Sejumlah lembaga keuangan di dalam dan sekitar New York City berurusan dengan perangkat skimming “Deep Insert” super tipis yang dirancang untuk masuk ke dalam mulut slot penerimaan kartu ATM.

Skimmer kartu tersebut dipasangkan dengan kamera sebesar lubang jarum kecil yang disamarkan sebagai bagian dari mesin ATM.

Skimmer “Deep Insert” ultra tipis dan fleksibel yang baru-baru ini ditemukan dari mesin ATM NCR di New York. Persegi panjang kuning besar adalah baterai. Gambar: KrebsOnSecurity.com.

Sisipan skimmer yang digambarkan di atas tingginya sekitar 0,68 milimeter. Ini menyisakan lebih dari cukup ruang untuk menampung sebagian besar kartu pembayaran (~.54 mm) tanpa mengganggu kemampuan mesin untuk mengambil dan mengembalikan kartu pelanggan.

Skimmer ini tidak berusaha untuk menyedot data atau transaksi kartu chip, melainkan data pemegang kartu masih disimpan dalam teks biasa pada strip magnetik di bagian belakang sebagian besar kartu pembayaran.

Sisi lain dari skimmer Deep Insert. Gambar: KrebsOnSecurity.com.

Pencuri yang merancang skimmer ini mengincar data strip magnetik dan 4 digit nomor identifikasi pribadi (PIN) pelanggan. Dengan dua data tersebut, para penjahat kemudian dapat mengkloning kartu pembayaran dan menggunakannya untuk menyedot uang dari rekening korban di ATM lain.

Untuk mencuri PIN, para penipu dalam hal ini menyematkan kamera lubang jarum di panel palsu yang dibuat agar pas di atas penutup mesin ATM di satu sisi bantalan PIN.

Kamera lubang jarum disembunyikan di panel samping palsu yang direkatkan ke satu sisi ATM, dan miring ke arah bantalan PIN. Gambar: KrebsOnSecurity.com.

Perangkat skimming yang digambarkan di atas diambil dari merek ATM buatan NCR yang disebut NCR SelfServ 84 Walk-Up. Pada Januari 2022, NCR menghasilkan laporan tentang skimmer Deep Insert bermotor, yang menawarkan tampilan lebih dekat pada skimmer sisipan lain yang ditemukan menargetkan lini ATM yang sama ini.

Berikut adalah beberapa variasi pada skimmer Deep Insert yang ditemukan NCR dalam penyelidikan terbaru:

Gambar di sebelah kiri di bawah menunjukkan skimmer Deep Insert lainnya dan komponen penyusunnya. Gambar di sebelah kanan menunjukkan kamera lubang jarum yang dioperasikan dengan baterai yang tersembunyi di fasia palsu langsung di sebelah kanan bantalan PIN ATM.

Laporan NCR termasuk foto tambahan yang menunjukkan bagaimana panel samping ATM palsu dengan kamera tersembunyi dibuat dengan hati-hati untuk menyelinap di atas panel samping ATM asli.

Terkadang Skimmer menyematkan kamera mata-mata lubang jarum mereka di panel palsu langsung di atas bantalan PIN, seperti dalam serangan baru-baru ini yang menargetkan model NCR yang serupa:

Pada gambar di bawah, skimmer menyembunyikan kamera lubang jarum mereka di “cermin kesadaran konsumen” yang ditempatkan tepat di atas ATM yang dipasangi skimmer sisipan:

Lembaga keuangan mengatakan telah melihat keberhasilan dalam menghentikan sebagian besar serangan skimmer insert ini dengan memasukkan solusi yang dijual NCR yang disebut “insert kit”, yang menghentikan desain skimmer saat ini untuk menemukan dan mengunci pembaca kartu.

NCR juga sedang melakukan uji coba lapangan pada “kit pendeteksi pintar” yang menambahkan kamera USB standar untuk melihat area pembaca kartu internal, dan menggunakan perangkat lunak pengenalan gambar untuk mengidentifikasi perangkat palsu di dalam pembaca kartu.

Perangkat skimming akan terus berkembang dalam miniaturisasi dan sembunyi-sembunyi selama kartu pembayaran terus menyimpan data pemegang kartu dalam teks biasa pada strip magnetik.

Banyak model ATM yang lebih baru, termasuk NCR SelfServ yang sekarang menyertakan kemampuan tanpa kontak, yang berarti pelanggan tidak perlu lagi memasukkan kartu ATM mereka cukup dengan mengetuk kartu pintar mereka terhadap indikator nirkabel di sebelah kiri penerimaan kartu slot (tepat di bawah tanda “Gunakan Perangkat Seluler Di Sini” di ATM).

Untuk itu hindari mesin ATM yang tampak mencurigakan dan berdiri sendiri di area dengan penerangan rendah. Tetap gunakan ATM yang secara fisik terpasang di bank.

Terakhir tetapi yang paling penting, menutupi bantalan PIN dengan tangan Anda agar tidak bisa dilihat oleh kamera yang biasanya disembunyikan skimmer di suatu tempat di atau dekat ATM yang disusupi untuk menangkap pelanggan yang memasukkan PIN mereka.

Sumber : Krebson Security

Microsoft: Pencuri kartu kredit semakin tersembunyi

May 25, 2022 by Eevee

Peneliti keamanan Microsoft telah mengamati tren yang mengkhawatirkan dalam skimming kartu kredit, di mana pelaku ancaman menggunakan teknik yang lebih canggih untuk menyembunyikan kode pencuri informasi berbahaya mereka.

Geng skimming mengaburkan cuplikan kode mereka, menyuntikkannya ke dalam file gambar, dan menyamarkannya sebagai aplikasi web populer untuk menghindari deteksi.

Ini merusak keefektifan produk pendeteksi ancaman dan meningkatkan kemungkinan informasi kartu kredit pengguna internet dicuri oleh pelaku kejahatan.

Skimming kartu pembayaran adalah serangan berbasis web di mana peretas menyuntikkan kode JavaScript berbahaya ke situs web e-niaga dengan mengeksploitasi kerentanan pada platform yang mendasarinya (Magento, PrestaShop, WordPress, dll.) atau praktik keamanan yang buruk.

Kode diaktifkan ketika pengunjung situs mencapai halaman checkout dan mulai memasukkan rincian kartu kredit atau debit mereka untuk membayar pesanan yang ditempatkan.

Apa pun yang diketik pada formulir halaman itu dicuri oleh skimmer dan dikirim ke operator jahat yang kemudian menggunakan detail ini untuk melakukan pembelian online atau menjual data kepada orang lain.

Analis Microsoft melaporkan melihat peningkatan dalam penggunaan tiga metode persembunyian: menyuntikkan skrip dalam gambar, penggabungan string, dan spoofing skrip.

Dalam kasus pertama, file gambar berbahaya diunggah ke server target yang menyamar sebagai favicon. Isinya, bagaimanapun, termasuk skrip PHP dengan JavaScript yang disandikan base64.

Script berjalan untuk mengidentifikasi halaman checkout, menjalankan pemeriksaan untuk mengecualikan pengguna admin, dan kemudian menyajikan formulir palsu kepada pengunjung situs yang sah.

Memvalidasi status pengguna admin (Microsoft)

Menggunakan kebingungan rangkaian string, penyerang memuat skimmer dari domain di bawah kendali mereka menggunakan implan di situs target.

Domain dikodekan base64 dan digabungkan dari beberapa string, sedangkan skimmer itu sendiri tidak perlu dikaburkan karena tidak di-host pada platform yang ditargetkan.

URL yang disandikan gabungan (Microsoft)

Yang ketiga, script spoofing, tren menyamarkan skimmer sebagai Google Analytics atau Meta Pixel (Facebook Pixel), dua alat pelacak pengunjung yang banyak digunakan hadir di hampir setiap situs.

Pelaku ancaman menyuntikkan string yang disandikan base64 ke dalam kode Google Pengelola Tag palsu, menipu admin agar melewatkan pemeriksaan, mengira itu adalah bagian dari kode standar situs web.

Skimmer dipalsukan sebagai kode Google Analytics (Microsoft)

Dalam kasus Meta Pixel, pelaku ancaman meniru beberapa parameter umum dari plugin yang sebenarnya sambil juga menjaga URL skimmer dikodekan di base64 dan dipecah menjadi beberapa string.

Memalsukan fungsi Meta Pixel (Microsoft)

Analisis Microsoft mengungkapkan bahwa skrip tersebut tidak hanya memuat skimmer kartu tetapi juga menampilkan mekanisme anti-debugging tetapi tidak dapat mengaburkannya ke tingkat yang diperlukan untuk detail lebih lanjut tentang fungsi itu.

Karakteristik umum di antara semua skimmer kartu pembayaran termasuk adanya string yang disandikan base64 dan fungsi JavaScript “atob()” pada halaman web yang disusupi.

Selain pemindaian dan deteksi aktif, administrator situs web harus memastikan bahwa mereka menjalankan versi terbaru dari sistem manajemen konten (CMS) dan plugin mereka.

Dari perspektif pelanggan, meminimalkan kerusakan skimmer hanya dimungkinkan dengan menggunakan kartu pribadi satu kali, menetapkan batas pembayaran yang ketat, atau menggunakan metode pembayaran elektronik.

Sumber: Bleeping Computer

Gelombang serangan MageCart menargetkan ratusan situs Magento yang sudah ketinggalan zaman

February 10, 2022 by Eevee

Analis telah menemukan sumber pelanggaran massal lebih dari 500 toko e-niaga yang menjalankan platform Magento 1 dan melibatkan satu domain yang memuat skimmer kartu kredit pada semuanya.

Menurut Sansec, serangan itu menjadi jelas akhir bulan lalu ketika crawler mereka menemukan 374 infeksi pada hari yang sama, semuanya menggunakan malware yang sama.

Domain tempat pelaku ancaman memuat malware adalah naturalfreshmall[.]com, saat ini offline, dan tujuan pelaku ancaman adalah mencuri informasi kartu kredit pelanggan di toko online yang ditargetkan.

Investigasi Sansec selanjutnya mengungkap bahwa penyerang menyalahgunakan kerentanan yang diketahui di plugin Quickview untuk menyuntikkan pengguna admin Magento jahat yang kemudian dapat menjalankan kode dengan hak istimewa tertinggi.

Penyalahgunaan terjadi melalui penambahan aturan validasi ke tabel customer_eav_attribute. Ini menipu aplikasi host untuk membuat objek jahat, yang kemudian digunakan untuk membuat pintu belakang sederhana (api_1.php).

Menambahkan aturan di database situs web.
Sumber: Sansec

Selain menyuntikkan skimmer kartu kredit, peretas juga dapat menggunakan pintu belakang api_1.php untuk menjalankan perintah di server jarak jauh, yang mengarah ke pengambilalihan situs secara menyeluruh.

Sansec menunjukkan bahwa dalam kasus ekstrim, musuh menyuntikkan sebanyak 19 backdoors pada satu platform e-commerce, mungkin bereksperimen untuk mencari tahu apa yang terbaik untuk tujuan mereka atau hanya menjadi sangat serius tentang redundansinya.

Adobe telah berhenti mendukung cabang Magento 1 dari platform e-niaga populer sejak 30 Juni 2020, tetapi ribuan situs masih menggunakan perangkat lunak usang.

Hal ini membuat situs rentan terhadap berbagai serangan peretas, dan dengan ekstensi, menempatkan detail sensitif pelanggan mereka dalam risiko.

Rincian ini biasanya mencakup nomor kartu kredit, alamat pengiriman, nama, nomor telepon, alamat email, dan umumnya semua yang diperlukan untuk melakukan pemesanan online.

Sangat disarankan agar semua admin Magento mengonfirmasi bahwa mereka menggunakan platform versi terbaru dan memutakhirkan jika menggunakan versi lama yang tidak didukung.

Sumber : Bleeping Computer

Peretas Magecart Sembunyikan Data Kartu Kredit yang Dicuri Ke Dalam Gambar untuk Penghindaran Eksfiltrasi

July 10, 2021 by Winnie the Pooh

Pelaku kejahatan dunia maya bagian dari kelompok Magecart telah menggunakan teknik baru untuk mengaburkan kode malware dalam blok komentar dan mengkodekan data kartu kredit curian ke dalam gambar dan file lain yang dihosting di server, sekali lagi menunjukkan bagaimana penyerang terus meningkatkan rantai infeksi mereka untuk menghindari deteksi.

“Salah satu taktik yang digunakan beberapa aktor Magecart adalah membuang detail kartu kredit yang digesek ke file gambar di server [untuk] menghindari kecurigaan,” Analis Keamanan Sucuri, Ben Martin, mengatakan dalam sebuah tulisan. “Ini nanti dapat diunduh menggunakan permintaan GET sederhana di kemudian hari.”

MageCart adalah istilah umum yang diberikan kepada beberapa kelompok penjahat dunia maya yang menargetkan situs web e-niaga dengan tujuan menjarah nomor kartu kredit dengan menyuntikkan skimmer JavaScript berbahaya dan menjualnya di pasar gelap.

Sucuri mengaitkan serangan itu dengan Magecart Group 7 berdasarkan tumpang tindih dalam taktik, teknik, dan prosedur (TTP) yang diadopsi oleh aktor ancaman.

Dalam satu contoh infeksi situs web e-niaga Magento yang diselidiki oleh perusahaan keamanan milik GoDaddy, ditemukan bahwa skimmer dimasukkan ke salah satu file PHP yang terlibat dalam proses checkout dalam bentuk string terkompresi yang disandikan Base64.

Terlebih lagi, untuk lebih menutupi keberadaan kode berbahaya dalam file PHP, musuh dikatakan telah menggunakan teknik yang disebut penggabungan di mana kode tersebut digabungkan dengan potongan komentar tambahan yang “tidak berfungsi melakukan apa pun tetapi menambahkan lapisan kebingungan. membuatnya agak lebih sulit untuk dideteksi.”

Pada akhirnya, tujuan dari serangan tersebut adalah untuk menangkap rincian kartu pembayaran pelanggan secara real-time di situs web yang disusupi, yang kemudian disimpan ke file style sheet palsu (.CSS) di server dan diunduh kemudian di ujung aktor ancaman oleh membuat permintaan GET.

“MageCart adalah ancaman yang terus berkembang terhadap situs web e-niaga,” kata Martin. “Dari sudut pandang penyerang: hadiahnya terlalu besar dan konsekuensinya tidak ada, mengapa tidak? Kekayaan literal dibuat [dengan] mencuri dan menjual kartu kredit curian di pasar gelap.”

selengkapnya : thehackernews.com

VISA: Semakin banyak peretas yang menggunakan web shell untuk mencuri kartu kredit

April 8, 2021 by Winnie the Pooh

Pemroses pembayaran global VISA memperingatkan bahwa pelaku ancaman semakin banyak menggunakan web shell pada server yang disusupi untuk mengekstrak informasi kartu kredit yang dicuri dari pelanggan toko online.

Sepanjang tahun lalu, VISA telah melihat tren yang berkembang dari web shell yang digunakan untuk menyuntikkan skrip berbasis JavaScript yang dikenal sebagai skimmer kartu kredit ke toko online yang diretas dalam serangan skimming web (alias skimming digital, e-Skimming, atau Magecart).

Setelah digunakan, skimmer memungkinkan mereka untuk mencuri pembayaran, dan informasi pribadi yang dikirimkan oleh pelanggan toko online yang disusupi dan mengirimkannya ke server yang mereka kendalikan.

Pada bulan Februari, temuan VISA dikonfirmasi oleh tim Microsoft Defender Advanced Threat Protection (ATP), yang mengatakan bahwa jumlah web shell yang digunakan pada server yang disusupi hampir dua kali lipat sejak tahun lalu.

Peneliti keamanan perusahaan menemukan rata-rata 140.000 alat berbahaya semacam itu di server yang diretas setiap bulan, antara Agustus 2020 hingga Januari 2021.

Sebagai perbandingan, Microsoft mengatakan dalam laporan tahun 2020 bahwa mereka mendeteksi rata-rata 77.000 web shell setiap bulan, berdasarkan data yang dikumpulkan dari sekitar 46.000 perangkat berbeda antara Juli dan Desember 2019.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Skimmer

Cookies Settings