דילוג לתוכן

פושעי סייבר משתמשים בדומיינים מהימנים של גוגל כדי להפיץ נוזקות

מתקפת סייבר חדשה הופכת אתרי מסחר אלקטרוני מהימנים למלכודות דיוג, ללא ידיעת בעלי האתרים או המפרסמים. פושעי סייבר מנצלים אינטגרציות עם ממשקי API של גוגל, במיוחד באמצעות קריאות JSONP (JSON with Padding), כדי להחדיר נוזקות לחנויות מקוונות לגיטימיות. נוזקות אלו פועלות באופן חשאי ומפנות קונים תמימים לדפי תשלום מזויפים, שם הם חושפים את פרטי כרטיס האשראי במסווה של תשלום לסוחרים מהימנים.

בניגוד למתקפות סייבר בהן מפורסמות מודעות חשודות או הפניות גלויות, מנצלת מתקפה זו את אמינותם של אתרים איכותיים ומודעות פרסום לגיטימיות. קונים אשר לוחצים על פרסומות לגיטימיות מופנים לחנויות אמיתיות, שם הם נתקלים באיומי סייבר בלתי נראים המוסתרים מתחת לפני השטח. מקרה בולט כלל את החנות ההודית של Ray-Ban (india.ray-ban.com), שם פרצו פושעי סייבר למערכת הניהול של האתר והפכו מותג מהימן לפלטפורמת דיוג. אסטרטגיה דו-צדדית זו איפשרה לפושעי הסייבר לחטוף את אמינות המותג תוך ניצול מאמצי השיווק של החברות הנפגעות, כדי להניע תנועה להונאות שלהם וכל זאת, מבלי להשקיע בפרסום.

ליבת מתקפת הסייבר הזו טמונה בניצול JSONP – טכניקה מיושנת המשמשת לעקיפת מדיניות המקור של הדפדפן על ידי טעינת נתונים מדומיינים חיצוניים באמצעות תגי סקריפט. תגובות JSONP מבוצעות מיד עם הטעינה, אינן מציעות שליטה על התוכן ומציבות סיכוני אבטחה משמעותיים, כולל רגישות למתקפות סקריפטים בין אתרים (XSS). כאשר פוגעים פושעי הסייבר בנקודת קצה של API, הם יכולים להזריק קוד JavaScript זדוני שפועל ללא בדיקה. יש לציין כי אפילו תצורות חזקות של מדיניות אבטחת תוכן (CSP), לרוב אינן מצליחות לחסום סקריפטים אלו מכיוון שמדובר בדומיינים מהימנים כמו של גוגל. ממשקי API פגיעים של גוגל כגון translate.googleapis.com, accounts.google.com ו- www.youtube.com, זוהו כווקטורים להעברת סקריפטים זדוניים אלו.

שרשרת ההתקפה מגיעה לעתים קרובות לשיאה בהפניות לדפי תשלום מזויפים המתארחים בדומיינים זדוניים כמו montina[.]it או premium[.]vn, כפי שמעידה תעבורת רשת שנלכדה מאתרים שנפרצו. פלטפורמות מסחר אלקטרוני רבות שנפגעו, כולל אלו המריצות את Adobe Commerce ו- Magento, הראו עדויות לסקריפטים מרובים שהוזרקו, מה שמגביר את הסיכון למשתמשים. למרות שהאיום נודע לגוגל בנובמבר 2024, נותרו פעילים מספר אתרים שנפרצו והם ממשיכים לחשוף משתמשים לסיכוני דיוג. חשוב להבין כי מעבר לדיוג, יכולים פושעי סייבר לנצל את הפגיעויות הללו למתקפות הפניה אוטומטית, תוך הפניית משתמשים לדפי הונאה ללא כל אינטראקציה, דבר שפוגע קשות באמון המשתמשים ופוגע במוניטין של המפרסם. המקרה של india.ray-ban.com, שנפגע בעבר, מדגיש את האופי החוזר ונשנה של איומים כאלו, למרות שהאתר תוקן מאז.

בעוד פושעי סייבר ממשיכים לנצל דומיינים מהימנים כמו זה של גוגל כדי להחדיר נוזקות, ערנות מתמדת וניטור פרואקטיבי אחר הזרקות סקריפטים חשודים, הינם קריטיים. איום מתפתח זה מדגיש את הצורך באמצעי אבטחה משופרים כדי להגן על משתמשים ולשמור על שלמותן של פלטפורמות מקוונות לגיטימיות, לנוכח מתקפות סייבר חשאיות.

למקור הידיעה ולקריאה נוספת

פושעי סייבר משתמשים בדומיינים מהימנים של גוגל כדי להפיץ נוזקות