PCI DSS v4.0 mendorong pertahanan yang lebih baik terhadap serangan ala Magecart Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS v4.0) – yang menetapkan persyaratan dasar untuk organisasi yang menangani pembayaran atau data kartu kredit – telah ditingkatkan untuk meningkatkan taruhan dalam memerangi apa yang disebut serangan gaya Magecart, antara perbaikan lainnya.
Emma Sutcliffe, petugas standar SVP dari Dewan Standar Keamanan PCI (PCI SSC), mengatakan kepada The Daily Swig: “PCI DSS v4.0 mencakup dua persyaratan baru yang bertujuan untuk membantu mencegah dan mendeteksi skimming digital di lingkungan e-commerce. Persyaratan baru pertama mencakup pengelolaan skrip halaman pembayaran yang dimuat dan dijalankan di browser konsumen.
“Persyaratan e-niaga baru kedua melibatkan mekanisme untuk mendeteksi perubahan atau indikator aktivitas berbahaya di halaman pembayaran. Persyaratan ini membantu mengurangi risiko yang ditimbulkan oleh sifat halaman web yang sangat dinamis, di mana konten sering diperbarui dari berbagai lokasi internet.”
Tampilan toko digital
Malware skimming kartu kredit berbasis web telah menjadi ancaman yang berkembang bagi toko e-niaga.
Ancaman ini tidak menunjukkan tanda akan mereda dalam waktu dekat dan, lebih buruk lagi, vendor keamanan di garis depan dalam meneliti ancaman tersebut mengungkap kemungkinan bukti kolaborasi yang lebih besar antara kelompok.
Revisi PCI DSS v4.0 untuk lebih bertahan melawan serangan gaya Magecart disambut oleh keamanan web konsultan Scott Helme dalam posting blog teknis baru-baru ini.
Adam Hunt, CTO di RiskIQ, mengatakan kepada The Daily Swig: “Seiring peneliti keamanan lebih menyoroti dunia Magecart, dan karena standar PCI SSC terus berkembang, kami melihat bahwa dunia bawah kartu skimmer semakin terjalin dan terhubung.
“Dalam menggambar paralel antara serangan yang berbeda, skimmer s, dan infrastruktur lainnya, banyak hal menjadi lebih transparan – seperti kelompok mana yang bertanggung jawab, bagaimana mereka menargetkan korbannya, dan bagaimana alat mereka berkembang. Penanda-penanda inilah yang harus diwaspadai oleh perusahaan.”
Serangan terbaru terkadang melibatkan campuran berbagai ancaman.
Hunt menjelaskan: “Dalam banyak kompromi Magecart baru-baru ini, kami telah melihat peningkatan tumpang tindih dalam infrastruktur yang digunakan untuk menampung berbagai skimmer yang tampaknya digunakan oleh kelompok yang tidak terkait yang menggunakan berbagai teknik dan struktur kode. Kami juga mengamati varian baru skimmer yang menggunakan kembali kode yang terlihat di masa lalu.
“Infrastruktur yang tumpang tindih ini dapat mencakup penyedia hosting yang digunakan oleh beberapa domain skimming yang memuat beberapa skimmer yang tidak terkait – misalnya Inter skimmer dan versi Grelos yang berbeda. Kami bahkan mengamati domain yang memuat skimmer berbeda dari alamat IP yang sama.”
Filter phish
PCI DSS v4.0 (PDF) adalah revisi besar pertama dari standar terpenting industri kartu pembayaran dalam delapan tahun terakhir. Di samping langkah-langkah yang ditujukan untuk memerangi Magecart, PCI DSS v4.0 dua persyaratan baru untuk membantu mengatasi serangan phishing.
PCI SSC Sutcliffe menjelaskan: Ini termasuk penggunaan proses dan mekanisme otomatis untuk mendeteksi dan melindungi personel dari serangan phishing dan menggabungkan phishing dan rekayasa sosial ke dalam pelatihan kesadaran keamanan.
Sutcliffe menyimpulkan: “Tujuan lain dengan PCI DSS v4.0 adalah untuk memberikan peningkatan fleksibilitas bagi organisasi yang menggunakan metode baru dan inovatif untuk mencapai tujuan keamanan. Persyaratan dan fleksibilitas yang diperbarui yang dibangun ke dalam PCI DSS v4.0 didukung oleh panduan tambahan di seluruh standar untuk membantu organisasi mengamankan data pembayaran sekarang dan di masa depan.”
RELATEDAfrican banking se ctor ditargetkan oleh kampanye phishing berbasis malware
Referensi PortSwigger.com