Nama “Magecart” mengacu pada konsorsium global yang terdiri dari setidaknya dua belas organisasi kriminal. Organisasi-organisasi ini berada di balik beberapa serangan dunia maya terbesar di dunia. Juga kadang-kadang disebut sebagai serangan front-end, modus operandi mereka lebih dikenal sebagai serangan Magecart. Istilah Magecart juga digunakan untuk kode JavaScript yang digunakan grup tersebut dalam penipuan mereka.
Tipikal untuk serangan ini adalah mereka menggunakan browser klien untuk mengakses informasi yang dimasukkan oleh pelanggan online. Serangan menargetkan dan mengumpulkan data sensitif pelanggan (alamat email, kata sandi, dan nomor kartu kredit) dengan menyuntikkan kode JavaScript berbahaya.
Sayangnya, metode Magecart sangat maju dan terus berkembang. Salah satu contoh klasik serangan Magecart melibatkan injeksi bidang baru ke dalam formulir online untuk mengumpulkan informasi sensitif. Pelanggan tidak memiliki cara untuk mengetahui bahwa mereka mengunjungi halaman yang disusupi, dan bisnis biasanya hanya mengetahui tentang penipuan lama setelah kerusakan terjadi.
Di lain waktu, serangan Magecart menargetkan penyedia pihak ketiga perusahaan. Saat ini, sudah umum bagi pedagang e-commerce untuk menggunakan skrip pihak ketiga di situs mereka untuk memberikan pengalaman pelanggan yang baik. Solusi ini memiliki banyak manfaat dan umumnya mempermudah, lebih murah, dan lebih cepat untuk mengembangkan dan menambahkan fungsionalitas baru ke situs web.
Namun, mereka juga membawa elemen risiko, karena menggunakan skrip pihak ketiga berarti bahwa pemilik situs web tidak memiliki kendali penuh atas seluruh kode. Situs web e-commerce saat ini mungkin memiliki kode dari puluhan pihak ketiga yang berbeda yang semuanya memiliki hak istimewa yang sama dengan kode utama, dan penipu tahu cara memanfaatkannya.
Siapa Target Magecart?
Untuk kelompok penyerang Magecart, situs web e-commerce adalah target yang paling nyaman, terutama karena manajemen risiko pihak ketiga yang buruk dan penilaian risiko yang kurang baik. Tetapi jika Anda berpikir bahwa grup ini hanya menargetkan pengecer e-commerce “biasa”, Anda salah besar. Pelaku Magecart sekarang menargetkan semua jenis penyedia layanan di mana orang menggunakan kartu kredit untuk melakukan pembayaran dan transaksi.
Baca juga: Pahami Ciri Anak Mengalami Cyberbullying |
5 Jenis Serangan Magecart
Peretas Magecart beroperasi dengan berbagai cara, dan sayangnya, mereka terus menambahkan metode baru ke dalam daftar mereka. Di bawah ini, kita akan melihat lebih dekat pada lima jenis serangan yang paling umum:
1. Skimming “Ant & Cockroach”
Ini adalah salah satu jenis serangan Magecart yang paling umum. Biasanya menargetkan URL yang ditautkan ke halaman checkout situs web dan menggunakan teknik penyamaran untuk menyembunyikan kode berbahaya.
2. Mengkompromikan Rantai Pasokan
Kompromi rantai pasokan adalah ciri khas Magecart. Serangan semacam ini biasanya dilakukan dengan menyuntikkan kode skimming sebagai kode pihak ketiga di situs web. Seringkali, peretas akan menggunakan pencurian kredensial, serangan RDP, atau injeksi SQL untuk mendapatkan akses ke server pihak ketiga dan memasukkan kode berbahaya. Kode ini dirancang sedemikian rupa sehingga menghindari deteksi, memungkinkan peretas mencuri data pelanggan dari pengunjung situs web.
3. Skimming Melalui CDN dan IFrames
Skimmer Magecart sering memanfaatkan jaringan pengiriman konten dan file JavaScript terkait untuk menyembunyikan muatannya. Misalnya, peretas dapat menggunakan domain yang sangat mirip dengan produk yang sah, lalu mengarahkan pengunjung ke sana, dan menerapkan JavaScript berbahaya mereka di sana.
Dengan cara ini, pelaku dapat mengumpulkan data pelanggan seperti informasi kartu kredit di kasir. Skimmer juga diketahui menyuntikkan iframe PayPal palsu ke situs web yang rentan, membajak dan membahayakan proses pembayaran untuk mencuri informasi kartu kredit yang sensitif. Sebuah laporan pada tahun 2020 mengidentifikasi grup Magecart baru yang mereka beri nama ‘MakeFrame’ berdasarkan kemampuannya untuk membuat iframe untuk skimming data pembayaran.
Baca juga: Ancaman Siber Media Sosial Bagi Anak |
4. Menyembunyikan Skrip Skimming di File Gambar dan Favicons
Jenis serangan skimming ini relatif baru dan pertama kali terdeteksi pada plugin WooCommerce WordPress pada tahun 2020. Peretas akan menggunakan metadata file gambar untuk menyembunyikan malware mereka dan mencuri informasi kartu kredit yang dimasukkan oleh pelanggan online. Metadata file gambar berisi beberapa bidang informasi, seperti tanggal, waktu, resolusi, dan peretas akan, misalnya, menggunakan bidang hak cipta untuk menyembunyikan kode mereka.
Cara lain untuk menyembunyikan malware adalah dengan memasukkannya ke dalam situs web melalui shell berbasis PHP yang disamarkan sebagai favicon. Peretas melakukan ini dengan mengganti tag pintasan dalam kode untuk merujuk file gambar berbahaya sebagai gantinya. Shell ini kemudian dapat membaca informasi kartu kredit dari domain.
5. Menyerang Perangkat Lunak E-Commerce yang Kedaluwarsa
Pada tahun 2020, lebih dari 2.800 situs web yang menjalankan perangkat lunak versi lama Magento diserang oleh skimmer. Serangan ini dikenal sebagai Cardbleed, dan bersama-sama, itu adalah salah satu serangan terbesar yang pernah dilakukan oleh kelompok Magecart. Peretas terhubung dengan (versi lama) panel admin Magento dan menjalankan malware. Malware itu kemudian dihapus, tetapi hanya setelah mengkompromikan file JavaScript penting.
Baca lainnya: |