ওয়েব স্কিমিং আক্রমণ প্রচারণা
সাইবার নিরাপত্তা গবেষকরা একটি বৃহৎ পরিসরে ওয়েব স্কিমিং অভিযান আবিষ্কার করেছেন যা ২০২২ সালের জানুয়ারী থেকে সক্রিয় রয়েছে। এই অভিযানটি আমেরিকান এক্সপ্রেস, ডাইনার্স ক্লাব, ডিসকভার, জেসিবি কোং লিমিটেড, মাস্টারকার্ড এবং ইউনিয়নপে সহ প্রধান পেমেন্ট নেটওয়ার্কগুলির উপর নির্ভরশীল এন্টারপ্রাইজ সংস্থাগুলিকে লক্ষ্য করে। যেসব কোম্পানি এই পেমেন্ট পরিষেবাগুলিকে তাদের অনলাইন চেকআউট সিস্টেমে একীভূত করে তাদের সর্বোচ্চ ঝুঁকিতে রাখা হয় বলে মূল্যায়ন করা হয়।
সুচিপত্র
ডিজিটাল স্কিমিং এবং ম্যাজকার্টের বিবর্তন
ডিজিটাল স্কিমিং আক্রমণ হল ক্লায়েন্ট-সাইড আপসের একধরণের রূপ যেখানে হুমকিদাতারা বৈধ ই-কমার্স সাইট এবং পেমেন্ট পোর্টালগুলিতে দূষিত জাভাস্ক্রিপ্ট প্রবেশ করায়। গ্রাহকরা তাদের পেমেন্টের বিবরণ প্রবেশ করানোর সাথে সাথে ইনজেক্ট করা কোডটি নীরবে ক্রেডিট কার্ডের ডেটা এবং ব্যক্তিগত তথ্য সংগ্রহ করে।
এই কার্যকলাপটি সাধারণত ম্যাজকার্ট নামে পরিচিত বৃহত্তর বিভাগের অধীনে পড়ে। এই শব্দটি মূলত ম্যাজেন্টো-ভিত্তিক ই-কমার্স সাইটগুলিতে মনোনিবেশকারী সাইবার অপরাধী গোষ্ঠীর একটি মুক্ত সংগ্রহকে বর্ণনা করেছিল, কিন্তু পরবর্তীতে এটি অনেক প্ল্যাটফর্ম এবং প্রযুক্তি জুড়ে স্কিমিং কার্যক্রমকে অন্তর্ভুক্ত করার জন্য প্রসারিত হয়েছে।
নিষেধাজ্ঞা ফাঁকির সাথে জড়িত অবকাঠামো
বুলেটপ্রুফ হোস্টিং প্রদানকারী স্টার্ক ইন্ডাস্ট্রিজের সাথে সম্পর্কিত একটি সন্দেহজনক ডোমেনের তদন্তের সময় এই প্রচারণাটি শনাক্ত করা হয়েছিল, যা নিষেধাজ্ঞা এড়াতে পরিচালিত হয়েছিল। এর মূল কোম্পানি, PQ.Hosting, পরে পরিষেবাটিকে THE.Hosting নামে পুনঃব্র্যান্ড করে, যা বর্তমানে ডাচ সংস্থা WorkTitans BV দ্বারা পরিচালিত হয় বলে জানা গেছে।
cdn-cookie(dot)com ডোমেইনটিতে 'recorder.js' এবং 'tab-gtm.js'-এর মতো অস্পষ্ট জাভাস্ক্রিপ্ট ফাইলগুলি হোস্ট করা পাওয়া গেছে। এই স্ক্রিপ্টগুলি হ্যাক করা অনলাইন দোকানগুলিতে এমবেড করা হয়েছিল, যেখানে তারা গোপন ক্রেডিট কার্ড স্কিমিং সক্ষম করেছিল।
আত্ম-ধ্বংস এবং পরিবেশ সচেতনতার মাধ্যমে গোপনীয়তা
সাইট অ্যাডমিনিস্ট্রেটরদের দ্বারা সক্রিয়ভাবে সনাক্তকরণ এড়াতে স্কিমারটি তৈরি করা হয়েছিল। এটি ডকুমেন্ট অবজেক্ট মডেলে 'wpadminbar' এর উপস্থিতি পরীক্ষা করে, যা ওয়ার্ডপ্রেস অ্যাডমিনিস্ট্রেটর বা সুবিধাপ্রাপ্ত ব্যবহারকারীদের লগ ইন করার সময় দৃশ্যমান একটি টুলবার উপাদান। যদি এই উপাদানটি সনাক্ত করা হয়, তাহলে ম্যালওয়্যারটি তাৎক্ষণিকভাবে একটি স্ব-অপসারণ রুটিন শুরু করে, পৃষ্ঠা থেকে নিজেকে মুছে ফেলে।
স্বাভাবিক ব্রাউজিংয়ের সময় স্থায়িত্ব বজায় রাখার জন্য, স্কিমার প্রতিবার পৃষ্ঠার DOM পরিবর্তনের সময় কার্যকর করার চেষ্টা করে, যা আধুনিক ওয়েবসাইটগুলিতে ব্যবহারকারীর মিথস্ক্রিয়ার সময় একটি সাধারণ ঘটনা।
ইন্টারফেস ম্যানিপুলেশনের মাধ্যমে স্ট্রাইপকে অস্ত্র হিসেবে ব্যবহার করা
ক্ষতিকারক কোডটিতে স্ট্রাইপ-ভিত্তিক চেকআউট প্রবাহকে কাজে লাগানোর জন্য নির্দিষ্ট লজিক রয়েছে। স্ট্রাইপ নির্বাচন করা হলে, স্কিমার 'wc_cart_hash' নামে একটি স্থানীয় স্টোরেজ এন্ট্রি পরীক্ষা করে। যদি মানটি বিদ্যমান না থাকে, তবে এটি কী তৈরি করে এবং ডেটা সংগ্রহের জন্য প্রস্তুত করে।
সেই সময়ে, ম্যালওয়্যারটি গতিশীলভাবে বৈধ স্ট্রাইপ পেমেন্ট ফর্মটিকে একটি জাল দিয়ে প্রতিস্থাপন করে। সূক্ষ্ম ইন্টারফেস ম্যানিপুলেশনের মাধ্যমে, ভুক্তভোগীদের তাদের কার্ড নম্বর, মেয়াদ শেষ হওয়ার তারিখ এবং সিভিসি জাল ফর্মে প্রবেশ করিয়ে প্রতারিত করা হয়।
জমা দেওয়ার পর, পৃষ্ঠাটি একটি ত্রুটি বার্তা ফেরত দেয়, যা দেখে মনে হয় যেন অর্থপ্রদান ব্যর্থ হয়েছে ভুল তথ্যের কারণে, দূষিত হস্তক্ষেপের কারণে নয়।
তথ্য চুরি, বহিষ্কার এবং পরিষ্কারকরণ
চুরি হওয়া তথ্য পেমেন্ট কার্ডের বিবরণের বাইরেও বিস্তৃত এবং এর মধ্যে পুরো নাম, ফোন নম্বর, ইমেল ঠিকানা এবং শিপিং ঠিকানা অন্তর্ভুক্ত রয়েছে। স্কিমারটি এই তথ্যটি একটি HTTP POST অনুরোধের মাধ্যমে lasorie(dot)com-এ প্রেরণ করে।
একবার এক্সফিল্ট্রেশন প্রক্রিয়া সম্পন্ন হলে, ম্যালওয়্যারটি জাল ফর্মটি সরিয়ে দেয়, বৈধ স্ট্রাইপ ইন্টারফেস পুনরুদ্ধার করে এবং চেকআউট পৃষ্ঠা থেকে এর কার্যকলাপের চিহ্ন মুছে ফেলে। এরপর এটি 'wc_cart_hash' কে 'true' তে সেট করে, যাতে নিশ্চিত করা যায় যে স্কিমারটি একই শিকারের জন্য আবার না চলে।
গভীর প্ল্যাটফর্ম জ্ঞানের উপর নির্মিত একটি আক্রমণ শৃঙ্খল
গবেষকরা লক্ষ্য করেছেন যে হুমকিদাতা ওয়ার্ডপ্রেসের অভ্যন্তরীণ বিষয়গুলির একটি উন্নত বোধগম্যতা প্রদর্শন করে এবং আক্রমণ প্রবাহের অংশ হিসাবে এমনকি কম পরিচিত প্ল্যাটফর্ম বৈশিষ্ট্যগুলিকেও কাজে লাগায়। জ্ঞানের এই গভীরতা, পরিশীলিত ফাঁকি এবং ইন্টারফেস ম্যানিপুলেশন কৌশলগুলির সাথে মিলিত হয়ে, অপারেশনের পরিপক্কতা এবং স্থায়িত্বকে তুলে ধরে।
