Magecart, समूहों का एक समूह है जो पिछले आधे दशक से अपनी वेब स्किमिंग गतिविधियों के लिए कुख्यात है। ये हमलावर अक्सर दुर्भावनापूर्ण जावास्क्रिप्ट को इंजेक्ट करने के लिए शीर्ष ई-कॉमर्स सीएमएस जैसे मैगेंटो, ओपनकार्ट, प्रेस्टाशॉप, शॉपिफाई आदि पर कमजोरियों की तलाश करते हैं।
इन जावास्क्रिप्ट का उपयोग वेबसाइटों पर ग्राहकों के क्रेडिट कार्ड विवरण जैसे संवेदनशील लेकिन वाणिज्यिक और पुरस्कृत डेटा को स्किम करने के लिए किया जाता है। इस Magecart श्रृंखला की पिछली पोस्ट में, हमने इस बारे में बात की थी कि कैसे Magecart Magento को लक्षित करता है। यहां, हम OpenCart पर Magecart हमलों के बारे में बात करेंगे - पूर्ण निष्पादन विधि।
ओपनकार्ट पर मैगकार्ट अटैक
OpenCart जैसा कि आप शायद जानते हैं, ई-कॉमर्स वेबसाइटों के लिए शीर्ष तीन CMS में से एक है। यह लोकप्रियता के पैमाने पर केवल Magento और Shopify के बाद तीसरे स्थान पर है। जाहिर है, यह लोकप्रियता इसे मैगेकार्ट के निदेशकों के शीर्ष लक्ष्यों की सूची में भी लाती है।
मैगेकार्ट की बारीक किरकिरी का खुलासा करने वाली सनसनीखेज रिपोर्ट के बाद, रिस्कआईक्यू के शोधकर्ता ने फिर से एक नई रिपोर्ट प्रकाशित की है जिसमें ओपनकार्ट स्टोर्स में मैगेकार्ट समूह 12 के संचालन का विवरण दिया गया है। ये समूह छिपे रहने और सुर्खियों से दूर रहने के लिए छोटे स्टोरों को लक्षित करते हैं।
रिपोर्ट के अनुसार मैगेकार्ट ग्रुप 12 को प्रसिद्ध फ्रेंच विज्ञापनदाता एडवरलाइन से समझौता करने के लिए भी मान्यता दी गई है। जिससे एडवरलाइन पर जाने वाली हर वेबसाइट अनजाने में अपनी वेबसाइट पर दुर्भावनापूर्ण स्क्रिप्ट लोड कर रही होगी। इसके अलावा मैगेकार्ट ग्रुप 12 ने मैगेंटो, ओपनकार्ट और ओएसकामर्स के संस्करण चलाने वाली हजारों छोटी वेबसाइट की सुरक्षा और चोरी के डेटा को भंग कर दिया है।
यदि हम एक और हालिया हमले को देखें, तो यह जानने के बाद कि एक आगंतुक चेकआउट पृष्ठ पर जा रहा है, मैगेकार्ट ओपनकार्ट साइटों में स्किमर्स को इंजेक्ट करने के लिए प्री-फ़िल्टर जावास्क्रिप्ट कोड का उपयोग कर रहा है।
OpenCart पर Magecart हमलों को कैसे अंजाम दिया जाता है?
अब तक, ओपनकार्ट मामले पर मैजेकार्ट हमलों में घुसपैठ के तीन तरीके बताए गए हैं। मैंने उन सभी को नीचे सूचीबद्ध किया है।
कमजोरियों का फायदा उठाकर
पहला तरीका है, मैजकार्ट हमलावर ज्ञात कमजोरियों का फायदा उठाकर अपनी योजना को अंजाम देता है। ये कमजोरियां या तो मुफ्त में ऑनलाइन उपलब्ध हैं या कीमत के साथ इनका लाभ उठाया जा सकता है।
व्यवस्थापक पैनल को अपहृत करके
ओपनकार्ट स्टोर पर मैजकार्ट हमलों को अंजाम देने का एक और तरीका है, एडमिन पैनल के लॉगिन क्रेडेंशियल्स को या तो ब्रूट-फोर्स अटैक या फ़िशिंग द्वारा पकड़ना।
तृतीय-पक्ष विक्रेताओं से समझौता करके
उपयोग की जाने वाली तीसरी विधि प्लगइन और थीम डेवलपर्स जैसे तृतीय-पक्ष विक्रेताओं का समझौता है। वेब स्किमर्स लगाने के लिए हमलावर इन बाहरी स्रोतों के माध्यम से ई-कॉमर्स स्टोर के अंदर भी अपना रास्ता बनाते हैं।
ओपनकार्ट पर मैजकार्ट हमलों से बचाव के उपाय
कोई भी वेब पर पूर्ण हैक-प्रूफ स्थिति की पुष्टि नहीं कर सकता है, हालांकि, आप निश्चित रूप से सुरक्षित सुरक्षा प्रथाओं का पालन करके हमलों और उनकी गंभीरता को कम कर सकते हैं। मैंने उनमें से कुछ को नीचे सूचीबद्ध किया है:
अप टू डेट रहें
आप जिस सीएमएस संस्करण पर अपना व्यवसाय चला रहे हैं, उसे कभी भी अनदेखा न करें। नवीनतम संस्करणों में अपडेट न करना केवल आपके और आपकी वेबसाइट के लिए और अधिक परेशानी पैदा कर सकता है। पुराने संस्करणों में ज्ञात कमजोरियाँ होती हैं जिनका एक हमलावर द्वारा बहुत आसानी से फायदा उठाया जा सकता है।
सही फ़ाइल और फ़ोल्डर अनुमतियां सेट करें
इसके अलावा, अपनी वेबसाइट के हर प्रवेश बिंदु को सख्त करना एक और तरीका है जिससे आप इस समस्या से निपट सकते हैं। अपनी वेबसाइट के लिए सख्त फ़ाइल अनुमतियाँ सेट करें। यहाँ एक लेख है जिस पर आप एक बेहतर विचार प्राप्त करने के लिए देख सकते हैं कि यह कैसे करना है।
सुरक्षा समाधान का उपयोग करें
एक विश्वसनीय और सक्षम सुरक्षा समाधान जीवन रक्षक हो सकता है। एस्ट्रा की तरह एक फ़ायरवॉल वेबसाइट पर किसी भी तरह के अनधिकृत प्रवेश को हतोत्साहित करता है। यह 100+ ज्ञात साइबर हमलों के प्रयासों को रोकता है। जिनमें से कुछ SQLi, Rfi/lfi, XSS, CSRF, Owasp top 10, आदि हैं। इसके अलावा, एस्ट्रा का स्वचालित मैलवेयर स्कैनर आपकी वेबसाइट की नियमित स्कैनिंग को सरल करता है। इस स्कैनर से, आप एक बटन के क्लिक पर अपनी वेबसाइट को स्कैन कर सकते हैं।
निष्कर्ष
साइबरस्पेस में केवल मैजकार्ट हमले ही वेब स्किमिंग समूह नहीं हैं। ऐसे सैकड़ों हैकर्स हैं जो वेब द्वारा प्रदान की जाने वाली गुमनामी का लाभ उठाते हैं। यह कहने के बाद कि, महत्वपूर्ण क्रेडिट कार्ड की जानकारी को स्किम करना रातों-रात सुरक्षित नहीं होने वाला है, मैजकार्ट जल्द ही अपने परिचालन को कभी भी नहीं छोड़ रहा है। लेकिन हम हमलावरों से ज्यादा होशियार रहकर इसके हर प्रयास को हतोत्साहित कर सकते हैं। और, हमारी वेबसाइटों पर बेहतर सुरक्षा विधियों को लागू करने से हम शुरुआत कर सकते हैं।
एस्ट्रा सिक्योरिटी सूट वेब को पहले से कहीं ज्यादा सुरक्षित बनाने की दिशा में काम कर रहा है। एस्ट्रा ने सैकड़ों वेबसाइट को सुरक्षित स्तर तक पहुंचने में मदद की है, आप भी एस्ट्रा से अपनी ओपनकार्ट वेबसाइट को सुरक्षित कर सकते हैं। अभी एस्ट्रा डेमो प्राप्त करें।