Что такое Formjacking и как его избежать?

Реклама

2017 год был годом вымогателей. 2018 год был полностью посвящен криптографии. 2019 год складывается как год угона.

Резкое снижение стоимости криптовалют, таких как Биткойн и Монеро, означает, что киберпреступники ищут в других местах мошенническую прибыль. Что может быть лучше, чем украсть банковскую информацию прямо из формы заказа продукта, прежде чем вы нажмете «отправить». Вот так; они не вломятся в ваш банк. Злоумышленники поднимают ваши данные еще до того, как они зашли так далеко.

Вот что вам нужно знать о краже форм.

Что такое Formjacking?

Атака с помощью кражи форм - это способ киберпреступника перехватить вашу банковскую информацию прямо с сайта электронной коммерции.

Согласно Отчет об угрозах интернет-безопасности Symantec 2019В 2018 году формы-хакеры скомпрометировали 4818 уникальных сайтов каждый месяц. В течение года Symantec заблокировала более 3,7 миллиона попыток взлома.

Кроме того, более 1 миллиона из этих попыток захвата были совершены в течение последних двух месяцев 2018 года. вверх к ноябрьским выходным в Черную пятницу и далее в течение периода рождественских покупок в декабре.

Видя рост в инфекциях стиля MageCart и повторных инфекциях, у мошенников нет выходных.

- natmchugh (@natmchugh) 21 декабря 2018 г.

Итак, как работает атака с помощью кражи?

Formjacking включает в себя вставку вредоносного кода в веб-сайт провайдера электронной коммерции. Вредоносный код крадет платежную информацию, такую ​​как данные карты, имена и другую личную информацию, обычно используемую при совершении покупок в Интернете. Украденные данные отправляются на сервер для повторного использования или продажи, жертва не знает, что их платежная информация взломана.

В целом, это кажется основным. Это далеко от этого. Один хакер использовал 22 строки кода для изменения скриптов, запущенных на сайте British Airways. Злоумышленник похитил 380 000 деталей кредитной карты, в результате чего было получено более 13 миллионов фунтов стерлингов.

В этом заключается очарование. Недавние громкие атаки на British Airways, TicketMaster UK, Newegg, Home Depot и Target объединяют общий знаменатель: кража форм.

Кто стоит за нападениями на форму?

Определить одного злоумышленника, когда так много уникальных веб-сайтов становятся жертвами одной атаки (или, по крайней мере, стиля атаки), всегда сложно для исследователей безопасности. Как и в случае с другими недавними волнами киберпреступности, преступника не существует. Вместо этого большинство форм-краж происходит от групп Magecart.

Решил сегодня посетить стенды RSA, чтобы спросить каждого продавца, использующего Magecart в своем маркетинге, что это было. Ответы на сегодняшний день, по-видимому, таковы:

- Серьезная атака на мою организацию
- крупное предприятие преступников из россии
- Очень сложная атака, для которой мне нужен продукт X

1 / п

- Y??? К??? s?? (@Ydklijnsma) 6 марта 2019 г.

Название происходит от программного обеспечения, которое хакерские группы используют для внедрения вредоносного кода в уязвимые сайты электронной коммерции. Это вызывает некоторую путаницу, и вы часто видите, как Magecart используется как единое целое для описания хакерской группы. В действительности, многочисленные хакерские группы Magecart атакуют разные цели, используя разные приемы.

Йонатан Клинсма, исследователь угроз в RiskIQ, отслеживает различные группы Magecart. В недавнем отчете, опубликованном компанией Flashpoint, занимающейся разведкой рисков, Клейнсма подробно описывает шесть различных групп, использующих Magecart, работающих под одним и тем же именем, чтобы избежать обнаружения.

Внутри Magecart отчет [PDF] исследует, что делает каждую из ведущих групп Magecart уникальной:

• Группа 1 и 2: Атакуйте широкий круг целей, используйте автоматизированные инструменты для взлома и просмотра сайтов; Монетизирует украденные данные, используя сложную схему пересылки.
• Группа 3: Очень большой объем мишеней, работает уникальный инжектор и скиммер.
• Группа 4: Одна из наиболее продвинутых групп, смешивающаяся с сайтами жертвы с использованием целого ряда инструментов запутывания.
• Группа 5: Цели сторонних поставщиков для взлома нескольких целей, ссылки на атаку Ticketmaster.
• Группа 6: Выборочный таргетинг на чрезвычайно ценные сайты и сервисы, включая атаки British Airways и Newegg.

Как видите, группы теневые и используют разные приемы. Кроме того, группы Magecart соревнуются за создание эффективного продукта для кражи учетных данных. Цели разные, так как некоторые группы специально стремятся к высокой отдаче. Но по большей части они плавают в одном бассейне. (Эти шесть не единственные группы Magecart там.)

Продвинутая группа 4

В исследовательской работе RiskIQ группа 4 определяется как «продвинутая». Что это значит в контексте кражи?

Группа 4 пытается слиться с веб-сайтом, который она внедряет. Вместо создания дополнительного неожиданного веб-трафика, который может заметить сетевой администратор или исследователь безопасности, Группа 4 пытается генерировать «естественный» трафик. Это достигается путем регистрации доменов, «имитирующих поставщиков рекламы, поставщиков аналитики, домены жертвы и все остальное», что помогает им скрываться на виду.

Кроме того, Group 4 регулярно изменяет внешний вид скиммера, внешний вид URL, серверы эксфильтрации данных и многое другое. Есть больше.

Скиммер для захвата формы 4 группы сначала проверяет URL-адрес извлечения, на котором он функционирует. Затем, в отличие от всех других групп, скиммер Группы 4 заменяет платежную форму своей собственной, предоставляя форму скимминга непосредственно клиенту (читай: жертва). Замена формы «стандартизирует данные для извлечения», облегчая повторное использование или продажу.

RiskIQ заключает, что «эти передовые методы в сочетании со сложной инфраструктурой указывают на вероятную историю в экосистеме банковских вредоносных программ... но они перевели свой MO [Modus Operandi] в сторону скимминга карт, потому что это намного проще, чем банковское мошенничество ».

Как Formjacking группы делают деньги?

Большую часть времени украденные учетные данные продаются в Интернете Вот сколько ваша личность может стоить в темной паутинеНеловко думать о себе как о товаре, но все ваши личные данные, от имени и адреса до реквизитов банковского счета, чего-то стоят для онлайн-преступников. Сколько ты стоишь? Читать далее . Существует множество международных и русскоязычных форумов по кардингу с длинными списками украденных кредитных карт и другой банковской информацией. Вы не можете представить себе это незаконный, неопрятный тип сайта.

Некоторые из самых популярных карточных сайтов представляют собой профессиональную экипировку - отличный английский, совершенная грамматика, обслуживание клиентов; все, что вы ожидаете от законного сайта электронной коммерции.

Группы Magecart также перепродают свои пакеты с угонщиками другим потенциальным киберпреступникам. Аналитики Flashpoint нашли рекламу для индивидуальных комплектов скиммеров для взлома на российском хакерском форуме. Наборы варьируются от 250 до 5000 долл. В зависимости от сложности, а поставщики демонстрируют уникальные модели ценообразования.

Например, один вендор предлагал бюджетные версии профессиональных инструментов, видных громкими атаками на взлом.

Группы Formjacking также предлагают доступ к скомпрометированным веб-сайтам, цена которых начинается от $ 0,50, в зависимости от рейтинга сайта, хостинга и других факторов. Те же самые аналитики Flashpoint обнаружили около 3000 взломанных веб-сайтов в продаже на том же хакерском форуме.

Кроме того, на том же форуме работало «более десятка продавцов и сотни покупателей».

Как вы можете остановить атаку Formjacking?

Скиммеры Magecart используют JavaScript для использования платежных форм клиентов. Использование блокировщика сценариев на основе браузера обычно достаточно, чтобы остановить атаку с помощью кражи ваших данных.

• Пользователи Chrome должны проверить ScriptSafe
• Пользователи Firefox могут использовать NoScript
• Пользователи Opera могут использовать ScriptSafe
• Пользователи Safari должны проверить JSBlocker

После того, как вы добавите в браузер одно из расширений, блокирующих скрипты, у вас будет значительно больше защиты от атак, направленных на взлом. Это не идеально, хотя.

В отчете RiskIQ предлагается избегать небольших сайтов, которые не имеют такой же уровень защиты, как основной сайт. Нападения на British Airways, Newegg и Ticketmaster предполагают, что совет не является полностью обоснованным. Не сбрасывайте со счетов это все же. На сайте электронной коммерции, посвященном мамам и поп-музыке, скорее всего, будет размещен скрипт Mackcart.

Другое смягчение - Malwarebytes Premium. Malwarebytes Premium предлагает сканирование в режиме реального времени и защиту в браузере. Премиум-версия защищает именно от такого рода атак. Не уверены в обновлении? Вот пять отличных причин перейти на Malwarebytes Premium 5 причин для перехода на Malwarebytes Premium: да, оно того стоитХотя бесплатная версия Malwarebytes потрясающая, премиум-версия имеет множество полезных и полезных функций. Читать далее !