אימות כרטיסי אשראי גנובים: בוטים ניצלו את חגיגת הקניות בנובמבר

על מנת להשתמש בכרטיסים גנובים התוקפים מבקשים לוודא שהם שמישים ושבעלי הכרטיס לא ביטלו את פעילותם

bigstockphoto

אם חשבתם שחגיגת הקניות של נובמבר עברו בשקט - כנראה שטעיתם. חוקרי סייבר מחברת הטכנולוגיה הישראלית פרימטר איקס (PerimeterX) חשפו שני סוגים חדשים של בוטים שהצטרפו למרדף אחר פרטי כרטיסי האשראי שלכם, "אלפי אתרי מסחר נמצאים בסיכון וצריכים לנקוט באמצעי זהירות", מסבירים החוקרים.

"יום הרווקים הסיני", "הבלאק-פריידי", "סייבר מאנדיי". עונת הקניות כבר פה, וגם השנה הקמעונאים ברשת צופים עלייה בכמות הסחר המקוון. על פי נתוני Business Insider, בשנת 2018 היקף המכירות בעונת המכירות של חודש נובמבר הניבו 126 מיליארד דולר (עלייה של 16.5% לעומת 108.2 מיליארד הדולרים בשנת 2017). השנה ישראלים שברו שיא בקניות בבלאק פריידי בלבד עם עלייה של 15% לעומת שנה שעברה.

בשנים האחרונות, הפופולאריות של אתרי מסחר ברשת, ובייחוד בחגי נובמבר, מלווים גם בהצטרפות עוד ועוד גורמים זדוניים שמנסים להרוויח על חשבון הגולשים. בימים האחרונים, צוות המחקר של חברת הסייבר הישראלית פרימטר איקס (PerimeterX) מדווח על כך שלקראת חגי הקניות חלה עלייה בהיקף של 700% בתעבורה של בוטים זדוניים. כלומר יותר ויותר בוטים מנסים לתקוף בשבועות שלקראת חגי הקניות. החוקרים גילו שני סוגים חדשים של בוטים זדוניים המתמקדים באימות כרטיסי אשראי גנובים ברשת.

העלייה בפרצות לאתרים בשיטות שונות הובילה למצב בו מספר גדול של פרטי כרטיסי אשראי נגנבים, וחלקם זמינים למכירה ברשת האינטרנט וברשת האפילה. על מנת להשתמש בכרטיסים אלו, התוקפים מבקשים לוודא שהם שמישים ושבעלי הכרטיס לא ביטלו את פעילותם. בעונת הקניות של חגי החורף, רבים מהצרכנים מבצעים רכישות משמעותיות ועלולים לא לשים לב לרכישות נוספות שבוצעו בכרטיסי האשראי שלהם, ועל כן זו עונה נחשקת ביותר ל״פושעי הסייבר״. בהתאם, הם מתכוננים לעונה זו ודואגים לאמת את כרטיסי האשראי הגנובים על מנת שיוכלו להשתמש בהם בבוא העת. 

השימוש בבוטים על מנת לאמת מספר גדול של כרטיסי אשראי בשימוש בעמודי התשלום של אתרי אינטרנט מכונה ״carding״. העלייה בהיקף התנועה בעמודי התשלום, יוצרת קרקע פורייה עבור חוקרי סייבר לזהות דפוסי התנהגות של בוטים המנסים לבצע התקפות Carding, ועל ידי כך לזהות את הבוטים החדשים. בתוך כך, בחג הקניות המתקיימים בימים אלה אותרו שני סוגים של בוטים חדשים: הבוט הראשון שאותר כונה Canary Carding Bot. זהו בוט המנצל פרצות בפלטפורמות מסחר פופולאריות ברשת, מה שעלול להשפיע משמעותית על אלפי אתרי אינטרנט. הבוט השני מכונה The Shortcut Carding Bot, והוא מנצל את ממשקי ה- API של ספק כרטיסי התשלומים המשמשים אתר או אפליקציה סלולרית.

Canary Carding Bot

Canary bot, או "בוט הקנרי", הנו בוט מתוחכם שתוקף באמצעות שיטה שמצמצמת את הסיכון לגילוי התקפות על ידי שימוש במספר רב של שרתים שונים. בוט זה מאמת כרטיסי אשראי גנובים באמצעות עסקאות בעלות ערך קטן לקראת החגים, כלומר קניות וירטואליות בסכומים לא גבוהים במיוחד. הם מתמקדים בפלטפורמות ידועות, כלומר אתרי מסחר פופולאריים המשמשים בו-זמנית כמות גדול של משתמשים. התוקפים לומדים את הפלטפורמה, מנסים לבצע התקפות בודדות על אתרים שמשתמשים בפלטפורמה המסוימת ומשפרים את השיטות שלהם, ואז הם יכולים להמשיך ולהתקיף מספר גדול של אתרים נוספים.

התוקפים נוקטים בשיטות מתוחכמות ויודעים לחקות התנהגות של משתמשים אנושיים ולטשטש את עקבותיהם כך שההתקפה אינה מעלה חשד מיוחד. בשיטה זו, הבוטים מוסיפים מוצרים לעגלת הקניות, ממלאים מידע למשלוח ולבסוף מבצעים את התשלום - כל השלבים מראים התנהגות משתמש רגילה דרך אתר אינטרנט, אלא שכל מטרת הפעולה היא לוודא כי הכרטיס עובד והתשלום מבוצע בהצלחה. הפעולה מתבצעת עבור אלפי, ולפעמים עשרות אלפי כרטיסים גנובים. 

The Shortcut Carding Bot

באופן טבעי, תוקפי הסייבר מנסים לקצר את משך זמן התקיפה ולמקסם את הרווח שלהם. הבוט החדש שנמצא על ידי החוקרים הישראלים מחברת פרימטר איקס מנצל את ממשק ה-API של הסוחרים באתר או באפליקציה וכך הוא מפלס לעצמו את הדרך המהירה אל עבר המטרה. בוט זה חוסך את פעולות ההוספה של המוצרים לעגלה, ובחירת מידע למשלוח, וחותר מיד למטרה - אימות כרטיס האשראי הגנוב. חוקרי פרימטר איקס מצאו כי בחלק מהמקרים התוקפים מגלים נתיבים עם קריאות  APIשאינן ידועות אפילו למפעילי האתר. בחודשים האחרונים החוקרים זיהו מגמה הולכת וגוברת בשימוש לרעה בנקודות הקצה של API לאימות כרטיסי אשראי באינטרנט וביישומים ניידים.  

עידו ספרותי ממייסדי החברה מציין: "ככל שהשימוש בכרטיסי אשראי לרכישות מקוונות גדל, כך גם עולה כמות מתקפות הבוטים. בשל התגמול הגבוה, בעיקר בחגי הקניות אונליין, גורמים רבים מנצלים את העובדה שגולשים רבים פוקדים את אתרי המסחר, ובאמצעות שיטות מגוונות ומתוחכמות מוצאים דרכים לנצל לרעה את האתר ואת המשתמשים". עוד הוסיף, "פשעי הסייבר מתפתחים בצורה דרמטית ובתוך כך גם הבוטים מתחדשים ומשנים את צורת ההתקפה – בדרך להשגת מבוקשם הם מנסים לעקוף את מנגנוני ההגנה של האתרים. כך או כך, אלפי אתרי מסחר נמצאים בסיכון וצריכים לגלות ערנות במיוחד בתקופות בהן הפעילות באתר גדלה".