Offensive Scenario — Online retailer / e-commerce. Το Magecart web
skimming δεν αγγίζει καν τους servers σας: ζει στο πρόγραμμα περιήγησης του πελάτη. Ένα
παραβιασμένο third-party script ή μια μη εγκεκριμένη αλλαγή στο checkout.js αρκεί για να
υποκλέπτονται στοιχεία καρτών σε κάθε αγορά. Το ερώτημα για τη διοίκηση: ξέρετε τι τρέχει στη σελίδα
πληρωμής σας αυτή τη στιγμή;

Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.

Executive Summary

Το σενάριο δείχνει πώς ένα Magecart web skimming εκμεταλλεύεται third-party
scripts και απουσία client-side integrity (CSP/SRI) για να υποκλέψει δεδομένα καρτών. Η Audax το
αξιολογεί ελεγχόμενα και read-only στο front-end, αποδεικνύοντας την έκθεση, τα κενά ανίχνευσης και
τη συμμόρφωση με PCI DSS.

Το επιχειρησιακό ρίσκο

Για έναν online retailer, ένα Magecart περιστατικό σημαίνει διαρροή δεδομένων καρτών, παραβίαση
PCI DSS, πρόστιμα, chargebacks, απώλεια εμπιστοσύνης πελατών και ζημιά brand. Το
ύπουλο είναι ότι μπορεί να τρέχει για μήνες αόρατα, αφού δεν αφήνει ίχνη στους servers.

Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης

  1. Supply Chain (T1195.002): παραβίαση τρίτου script/CDN που φορτώνεται στο
    checkout.
  2. Web Portal Capture (T1056.003): ένεση κώδικα που υποκλέπτει στοιχεία κάρτας.
  3. Browser Session Hijacking (T1185): παρεμβολή στο client-side για data capture.
  4. Exfiltration (T1041): αποστολή δεδομένων σε εξωτερικό host — βήμα που η Audax
    τεκμηριώνει χωρίς να εξάγει πραγματικά δεδομένα πελατών.
Kali Linux που ελέγχει τα third-party scripts στη σελίδα checkout ενός online retailer και βρίσκει άγνωστο script χωρίς CSP ή SRI.
Άγνωστο third-party script στη σελίδα πληρωμής, χωρίς CSP/SRI: η κλασική επιφάνεια ενός Magecart web skimming — ελεγχόμενος έλεγχος.

Το αποτύπωμα φαίνεται στο client-side: ένα script αλλάζει χωρίς έγκριση και προστίθεται λογική
υποκλοπής/εξαγωγής:

Windows PowerShell που εντοπίζει μη εγκεκριμένη αλλαγή σε checkout.js και client-side skimmer που εξάγει δεδομένα κάρτας σε εξωτερικό host.
Μη εγκεκριμένη αλλαγή στο checkout.js με skimmer που εξάγει δεδομένα κάρτας: το αποτύπωμα ενός Magecart περιστατικού.

Τι δοκιμάζει η Audax ελεγχόμενα

Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR

  • μη εγκεκριμένες αλλαγές σε client-side scripts (hash/integrity drift)·
  • νέα/άγνωστα third-party domains που φορτώνονται στο checkout·
  • client-side beacons προς εξωτερικούς hosts·
  • απουσία/παράκαμψη CSP και SRI·
  • συσχέτιση web logs + integrity monitoring και ο χρόνος αντίδρασης.
Τακτική (Tactic) ATT&CK ID Τεχνική Τι σημαίνει στο σενάριο
Initial Access T1195.002 Supply Chain: Software Dependencies Παραβίαση τρίτου script/CDN στο checkout.
Collection T1056.003 Input Capture: Web Portal Capture Υποκλοπή στοιχείων κάρτας στη φόρμα πληρωμής.
Collection T1185 Browser Session Hijacking Παρεμβολή στο client-side για data capture.
Exfiltration T1041 Exfiltration Over C2 Channel Αποστολή δεδομένων κάρτας σε εξωτερικό host.
Defense Evasion T1027 Obfuscated Files or Information Συσκότιση του skimmer για αποφυγή εντοπισμού.
MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι τεχνική απόδειξη παράγεται

Επικυρωμένη έκθεση του checkout, αποδείξεις (anonymized screenshots/log excerpts), τα σημεία όπου
η ανίχνευση έπρεπε να ενεργοποιηθεί, αξιολόγηση σοβαρότητας και αντιστοίχιση με business/PCI impact.
Ενδεικτικοί δείκτες:

Τύπος Ένδειξη (anonymized) Πλαίσιο ανίχνευσης
Script cdn-promo[.]xyz/widget.js Άγνωστο 3rd-party script στο checkout.
File checkout.js (hash drift) Μη εγκεκριμένη client-side αλλαγή.
Behavior sendBeacon -> cdn-promo[.]xyz Exfiltration δεδομένων κάρτας.
Header No CSP / No SRI Απουσία ελέγχου integrity scripts.
Data card.number + cvv (base64) Υποκλοπή ευαίσθητων στοιχείων πληρωμής.
Ενδεικτικοί δείκτες (IOCs) προς ανίχνευση. Όλες οι τιμές είναι ανωνυμοποιημένες εργαστηριακές αναφορές.

Τι παραδίδεται στη διοίκηση

Executive risk summary με έμφαση στα δεδομένα καρτών και τη συμμόρφωση, ιεραρχημένο remediation
roadmap (CSP, SRI, third-party governance, integrity monitoring), παρατηρήσεις ωριμότητας ανίχνευσης,
συσχέτιση με PCI DSS, και πλάνο retesting.

Πώς μειώνεται ο κίνδυνος

  • αυστηρό Content Security Policy και Subresource Integrity στο checkout·
  • έλεγχος και allow-list των third-party scripts (vendor governance)·
  • client-side integrity monitoring και alerting σε αλλαγές·
  • τμηματοποίηση του περιβάλλοντος πληρωμών (PCI scope)·
  • purple teaming για επικύρωση ανίχνευσης skimming, και retesting.

Κλείστε Offensive Assessment

Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.

Κλείστε Offensive Assessment →