Kredi kartı bilgilerinin çalınmasıyla ilgili süreçte hacker’lar tarafından çok sayıda farklı teknik kullanılıyor.
Güvenlik araştırmacıları ve Malwarebytes ekibi, popüler bir içerik yönetim sistemi olan WordPress ile oluşturulan çevrimiçi bir mağaza aracılığıyla kredi kartı verilerini çalmak için kullanılan akıllı bir taktiğin üzerindeki örtüyü kaldırdı. Görselleri kötü amaçlar için kullanmak yeni bir şey değil. Ancak Malwarebytes, bu tür bir saldırıda ilk kez kredi kartı okuyucu (skimmer) gördüklerini söyledi.
Malwarebytes’ın tehdit analizi ekibi, soruşturmanın başlangıcında bunun favicon (web sitesine ait küçültülmüş logolar) gibi görünen kredi kartı okuyucusunun farklı bir örneği olabileceğini düşündü. Ancak işin derinlerine inildiğinde tamamen farklı şeyler ortaya çıktı.
Bilgisayar korsanları, bir web sitesinin favicon’unda kredi kartı bilgilerini çalmak için kullanılan kötü amaçlı kodları gizlemek yerine, bunu bir görüntü dosyasının meta verilerinin içerisine yerleştirdiler.
Değiştirilebilir Görüntü Dosyası Biçimi’nin kısaltması olan EXIF, genellikle dijital bir görüntüyle ilişkilendirilen meta verileri olarak tanımlanıyor. Yani bu veriler içerisinde fotoğrafı çekmek için kullanılan kamera ayarları, donanımı, tarih ve saat gibi birçok bilgi saklanabiliyor.
Bu durumda araştırmacılar, bilgisayar korsanlarının JavaScript aracılığıyla telif hakkı bulunan meta verilerini kullandıklarını keşfetti. Etkinleştirildikten sonra alışveriş yapan kişilerin isimleri, fatura adresleri ve kart bilgileri internet mağazasının girdilerinden çekiliyor. Toplanan veriler, hacker’lara ulaştırılmak üzere bir görüntü dosyasına geri yükleniyor.
Tüm bu adımlar ve ince ayrıntılar, büyük olasılıkla saldırının şüphe uyandırma şansını en aza indirmek için gerçekleştiriliyor. Böylece önemli verilerin çalınması için ne gibi taktikler geliştirilebileceğini görmüş oluyoruz. Son yıllarda çalıntı kredi kartı bilgilerinin satışı ve bu kartlarla yapılan alışverişlerin sayısı ise çok fazla artış gösterdi.
