تظهر هجمات eSkimming، المعروفة أيضاً بهجمات Magecart، استمراراً في تهديد مواقع التجارة الإلكترونية حول العالم، حيث تستهدف سرقة بيانات بطاقات الدفع من العملاء غير المكترثين عند إتمام عمليات الشراء. يتم حقن أكواد برمجية خبيثة في مواقع الويب المخترقة، لتسجيل المعلومات المالية الحساسة أثناء إتمام المستخدمين لعملياتهم.
على عكس برامج التجسس التقليدية التي تتطلب الوصول إلى النظام، فإن هجمات eSkimming تعمل بالكامل ضمن بيئة المتصفح، مما يجعل اكتشافها وإزالتها بالكامل أمراً صعباً للغاية. وقد أصبحت هذه الهجمات أكثر تعقيداً مع صقل الجهات المهددة لأساليبها لتجنب الدفاعات الأمنية والحفاظ على الوصول المستمر لفترات طويلة بعد الكشف الأولي.
تزايد استمرار هجمات eSkimming
تزامنت ظاهرة هجمات eSkimming وانتشارها الواسع مع زيادة الاعتماد على البرامج النصية الخارجية في المواقع الحديثة. يستغل المهاجمون هذه الثغرات الموجودة في سلسلة التوريد من خلال اختراق خدمات معالجة المدفوعات، أو موفري التحليلات، أو منصات دعم العملاء.
بمجرد حقن النص البرمجي الخبيث، يتم تسجيل بيانات النماذج وبيانات الاعتماد الخاصة بالدفع بصمت قبل إرسالها إلى خوادم يسيطر عليها المهاجمون. لا يقتصر نطاق هذا الهجوم على كبار تجار التجزئة، فالشركات الصغيرة والمتوسطة تظل عرضة للخطر بشكل متساوٍ، وغالباً ما تفتقر إلى الموارد اللازمة لتطبيق ضوابط أمنية قوية من جانب العميل.
نتائج دراسة صادمة حول الاستمرارية
كشفت دراسة أجراها محللون من Source Defense على مدى عام، وشملت 550 موقعاً للتجارة الإلكترونية تعرضت للاختراق في السابق عبر 68 دولة، عن أنماط استمرارية حرجة تتحدى الافتراضات التقليدية للتعافي. ووجدت الدراسة أن ثمانية عشر بالمائة من المواقع التي تعرضت للإصابة سابقاً لا تزال مخترقة بشكل نشط بعد عام من الكشف الأولي.
من بين هذه الإصابات المستمرة، شملت سبعة وخمسون بالمائة مسارات هجوم جديدة أو متطورة بدلاً من مجرد أكواد متبقية، مما يشير إلى تكيف نشط من جانب المهاجمين بدلاً من تهديدات كامنة سلبية. تشير هذه النتائج إلى الحاجة إلى فهم أعمق لكيفية تعافي المواقع ومدى نجاح إجراءات الأمان المطبقة.
تكتيكات المحور المهاجم: الانتقال بين طبقات معالجة الدفع
كان الاكتشاف الأكثر إثارة للقلق هو كيفية انتقال المهاجمين بين النصوص البرمجية الخارجية والداخلية أثناء دورات الإصلاح. عندما قامت المؤسسات بإزالة برنامج التنزيل المرئي دون معالجة الثغرات الأساسية، عاد المهاجمون عبر نواقل مختلفة.
تطورت اثني عشر بالمائة من الحملات من التنفيذ عبر أطراف ثالثة إلى استخدام JavaScript من الطرف الأول، مما أدى إلى تعمقها في المنطق الأساسي للموقع حيث أثبتت الضوابط الأمنية التقليدية عدم فعاليتها. يكشف هذا التكتيك المرتكز على التكيف أن المهاجمين يراقبون الاستجابات الدفاعية بنشاط ويبحثون بشكل متعمد عن أسهل نقاط الحقن التي يصعب اكتشافها.
فجوة أمنية في المتصفح
يكمن الضعف الهيكلي في النقطة العمياء الخاصة بالمتصفح. تركز معظم الأدوات الأمنية على الحماية من جانب الخادم، مثل جدران الحماية، وسياسات أمن المحتوى، وماسحات الأكواد، تاركةً التهديدات من جانب العميل دون مراقبة إلى حد كبير. إن التنظيف الفوري يزيل البرامج الضارة الظاهرة ولكنه لا يمكنه منع إعادة الإصابة دون رؤية مستمرة لوقت التشغيل.
تحتاج المؤسسات إلى مراقبة مستمرة للمتصفح في الوقت الفعلي للكشف عن سلوك النصوص البرمجية غير المصرح به، ومنع الوصول المشبوه للبيانات، وتطبيق الضوابط قبل حدوث الاستيلاء على البيانات. بدون معالجة هذه الفجوة، ستظل استمرارية هجمات eSkimming هي القاعدة بدلاً من الاستثناء.