Reklama

2017 był rokiem oprogramowania ransomware. W 2018 r. Chodziło głównie o szyfrowanie. Rok 2019 staje się rokiem formjackingu.

Drastyczny spadek wartości kryptowalut, takich jak Bitcoin i Monero, oznacza, że ​​cyberprzestępcy szukają gdzie indziej fałszywych zysków. Czy jest coś lepszego niż wykraść informacje bankowe bezpośrednio z formularza zamówienia produktu, zanim jeszcze wciśniesz opcję przesyłania. Zgadza się; nie włamują się do twojego banku. Atakujący podnoszą twoje dane, zanim dotrą tak daleko.

Oto, co musisz wiedzieć o formjackingu.

Co to jest formjacking?

Atak typu „formjacking” to sposób, w jaki cyberprzestępca przechwytuje informacje bankowe bezpośrednio ze strony e-commerce.

Według Raport zagrożeń Symantec Internet Security 2019, formjackerzy narażali 4818 unikalnych stron internetowych co miesiąc w 2018 roku. W ciągu roku firma Symantec zablokowała ponad 3,7 miliona prób wykradania formularzy.

Co więcej, ponad milion takich prób oszustw miało miejsce w ostatnich dwóch miesiącach 2018 r aż do weekendu w Czarny piątek w listopadzie i dalej przez cały grudzień świątecznych zakupów.

instagram viewer

Widząc wzrost infekcji i reinfekcji w stylu MageCart, oszuści nie mają wakacji.

- natmchugh (@natmchugh) 21 grudnia 2018 r

Jak działa atak formjacking?

Formjacking polega na wstawianiu złośliwego kodu na stronę internetową dostawcy e-commerce. Złośliwy kod kradnie informacje o płatnościach, takie jak dane karty, nazwiska i inne dane osobowe powszechnie używane podczas zakupów online. Skradzione dane są wysyłane na serwer w celu ponownego wykorzystania lub sprzedaży, ofiara nie zdaje sobie sprawy z tego, że jej dane dotyczące płatności zostały naruszone.

Podsumowując, wydaje się to podstawowe. To jest dalekie od tego. Jeden haker użył 22 linii kodu do modyfikacji skryptów działających na stronie British Airways. Atakujący ukradł 380 000 danych karty kredytowej, zarabiając w ten sposób ponad 13 milionów funtów.

Na tym polega urok. Ostatnie głośne ataki na British Airways, TicketMaster UK, Newegg, Home Depot i Target mają wspólny mianownik: formjacking.

Kto stoi za atakami typu „formjacking”?

Określenie pojedynczego atakującego, gdy tak wiele unikalnych stron internetowych padnie ofiarą pojedynczego ataku (lub przynajmniej stylu ataku), jest zawsze trudne dla badaczy bezpieczeństwa. Podobnie jak w przypadku innych ostatnich fal cyberprzestępczości, nie ma jednego sprawcy. Zamiast tego większość formjackingu wywodzi się z grup Magecart.

Postanowiłem dziś wybrać się na stoiska RSA, by zapytać każdego sprzedawcę używającego Magecart w swoich działaniach marketingowych. Najwyraźniej dotychczasowe odpowiedzi to:

- Poważny atak na moją organizację
- Duże przedsiębiorstwo przestępców z Rosji
- Wysoce zaawansowany atak, do którego potrzebuję produktu X

1 / n

- Y??? K??? s?? (@ydklijnsma) 6 marca 2019 r

Nazwa pochodzi od oprogramowania używanego przez grupy hakerskie do wstrzykiwania złośliwego kodu do wrażliwych witryn e-commerce. Powoduje to pewne zamieszanie i często widzisz Magecart używany jako pojedyncza jednostka do opisywania grupy hakerskiej. W rzeczywistości wiele grup hakujących Magecart atakuje różne cele przy użyciu różnych technik.

Yonathan Klijnsma, badacz zagrożeń w RiskIQ, śledzi różne grupy Magecart. W ostatnim raporcie opublikowanym przez firmę Flashpoint, wywiadowczą, Klijnsma wyszczególnia sześć różnych grup używających Magecart, działających pod tym samym pseudonimem, aby uniknąć wykrycia.

The Raport Inside Magecart [PDF] bada, co sprawia, że ​​każda z wiodących grup Magecart jest wyjątkowa:

  • Grupa 1 i 2: Atakuj szeroki zakres celów, używaj zautomatyzowanych narzędzi do naruszania i przeglądania stron; zarabia na skradzionych danych przy użyciu wyrafinowanego schematu ponownej wysyłki.
  • Grupa 3: Bardzo duża objętość celów, działa unikalny wtryskiwacz i skimmer.
  • Grupa 4: Jedna z najbardziej zaawansowanych grup, wtapia się w witryny ofiar za pomocą szeregu narzędzi zaciemniających.
  • Grupa 5: Kieruje do zewnętrznych dostawców, aby naruszali wiele celów, linki do ataku Ticketmaster.
  • Grupa 6: Selektywne celowanie w niezwykle cenne strony internetowe i usługi, w tym ataki British Airways i Newegg.

Jak widać, grupy są zacienione i używają różnych technik. Ponadto grupy Magecart konkurują ze sobą w celu stworzenia skutecznego produktu kradnącego dane uwierzytelniające. Cele są różne, ponieważ niektóre grupy dążą do uzyskania zwrotów o wysokiej wartości. Ale w większości pływają w tym samym basenie. (Te sześć nie jest jedynymi grupami Magecart.)

Grupa zaawansowana 4

Dokument badawczy RiskIQ określa Grupę 4 jako „zaawansowaną”. Co to oznacza w kontekście formjackingu?

Grupa 4 próbuje wtopić się w stronę internetową, którą infiltruje. Zamiast tworzyć dodatkowy nieoczekiwany ruch internetowy, który może wykryć administrator sieci lub badacz bezpieczeństwa, Grupa 4 próbuje wygenerować „naturalny” ruch. Odbywa się to poprzez rejestrację domen „naśladujących dostawców reklam, dostawców analiz, domen ofiary i wszystkiego innego”, co pomaga im ukryć się na widoku.

Ponadto grupa 4 regularnie zmienia wygląd skimmera, wygląd adresów URL, serwery do filtrowania danych i inne. Jest więcej.

Skimmer formjacking grupy 4 najpierw sprawdza poprawność adresu URL kasy, na którym działa. Następnie, w przeciwieństwie do wszystkich innych grup, skimmer z Grupy 4 zastępuje formularz płatności jednym ze swoich, obsługując formularz skimmingu bezpośrednio do klienta (czytaj: ofiara). Zastąpienie formularza „standaryzuje dane do wyciągnięcia”, ułatwiając ponowne użycie lub sprzedaż.

RiskIQ stwierdza, że ​​„te zaawansowane metody w połączeniu z zaawansowaną infrastrukturą wskazują na prawdopodobną historię w ekosystemie złośliwego oprogramowania bankowego... ale przenieśli swoje MO [Modus Operandi] na przeglądanie kart, ponieważ jest to o wiele łatwiejsze niż oszustwa bankowe ”.

Jak zarabiają grupy Formjacking?

Przez większość czasu skradzione dane uwierzytelniające są sprzedawane online Oto, ile Twoja tożsamość może być warta w ciemnej sieciMyślenie o sobie jak o towarze jest niewygodne, ale wszystkie twoje dane osobowe, od nazwiska i adresu po dane konta bankowego, są coś warte dla przestępców internetowych. Ile jesteś wart? Czytaj więcej . Istnieje wiele międzynarodowych i rosyjskojęzycznych forów kartowych z długimi listami skradzionych kart kredytowych i innymi informacjami bankowymi. Nie są to nielegalne, podejrzane witryny, które możesz sobie wyobrazić.

Niektóre z najpopularniejszych stron do gry w karty przedstawiają się jako profesjonalny strój - doskonała znajomość języka angielskiego, doskonała gramatyka, obsługa klienta; wszystko, czego oczekujesz od legalnej witryny e-commerce.

magecart formjacking badanie riskiq

Grupy Magecart odsprzedają również swoje pakiety do formjackingu innym niedoszłym cyberprzestępcom. Analitycy Flashpoint znaleźli reklamy spersonalizowanych zestawów skimmerów formjackingowych na rosyjskim forum hakerskim. Zestawy wahają się od około 250 do 5000 USD w zależności od złożoności, a dostawcy prezentują unikalne modele wyceny.

Na przykład jeden sprzedawca oferował budżetowe wersje profesjonalnych narzędzi, które widziały głośne ataki typu „formjacking”.

Grupy formjackingowe oferują również dostęp do zaatakowanych stron internetowych, których ceny zaczynają się już od 0,50 USD, w zależności od rankingu witryny, hostingu i innych czynników. Ci sami analitycy Flashpoint odkryli około 3000 naruszonych witryn podczas sprzedaży na tym samym forum hakerskim.

Ponadto na tym samym forum działało „kilkunastu sprzedawców i setki kupujących”.

Jak zatrzymać atak formjackingowy?

Odpieniacze formjacking Magecart używają JavaScript do wykorzystywania formularzy płatności dla klientów. Korzystanie z blokowania skryptów opartego na przeglądarce zwykle wystarcza, aby zatrzymać atak typu „kradzież formularzy” kradnący dane.

  • Użytkownicy Chrome powinni to sprawdzić ScriptSafe
  • Użytkownicy przeglądarki Firefox mogą korzystać NoScript
  • Użytkownicy Opery mogą korzystać ScriptSafe
  • Użytkownicy Safari powinni to sprawdzić JSBlocker

Po dodaniu jednego z rozszerzeń blokujących skrypty do przeglądarki uzyskasz znacznie lepszą ochronę przed atakami typu „formjacking”. Nie jest to jednak idealne.

Raport RiskIQ sugeruje unikanie mniejszych witryn, które nie mają takiego samego poziomu ochrony jak główne witryny. Ataki na British Airways, Newegg i Ticketmaster sugerują, że porady nie są w pełni uzasadnione. Nie dyskontuj tego. Witryna e-commerce dla mam i popu jest bardziej skłonna do hostowania skryptu formjackingowego Magecart.

Kolejnym środkiem łagodzącym jest Malwarebytes Premium. Malwarebytes Premium oferuje skanowanie systemu w czasie rzeczywistym i ochronę w przeglądarce. Wersja Premium chroni przed takim właśnie atakiem. Nie jesteś pewien aktualizacji? Tu są pięć doskonałych powodów do przejścia na Malwarebytes Premium 5 powodów aktualizacji do Malwarebytes Premium: Tak, wartoPodczas gdy darmowa wersja Malwarebytes jest niesamowita, wersja premium ma wiele przydatnych i wartościowych funkcji. Czytaj więcej !

Gavin jest starszym pisarzem dla MUO. Jest także redaktorem i menedżerem SEO dla siostrzanej strony MakeUseOf, Blocks Decoded. Ma licencjat z wyróżnieniem (z wyróżnieniem) z zakresu sztuki cyfrowej zdobyte na wzgórzach Devon, a także ponad dekadę doświadczenia zawodowego w pisaniu. Lubi dużo herbaty.