Безопасность

Что такое Formjacking и как вы можете избежать этого?

Что такое Formjacking и как его избежать?

2017 год был годом вымогателей. 2018 год был полностью посвящен криптографии. 2019 год складывается как год угона.

Резкое снижение стоимости криптовалют, таких как биткойны и монеро, означает, что киберпреступники ищут в других местах мошенническую прибыль. Что может быть лучше, чем украсть банковскую информацию прямо из формы заказа продукта, прежде чем вы нажмете «отправить». Это верно; они не вломятся в ваш банк. Злоумышленники поднимают ваши данные еще до того, как они зашли так далеко.

Вот что вам нужно знать о краже форм.

Что такое Formjacking?

Атака с помощью кражи форм — это способ киберпреступника перехватить вашу банковскую информацию прямо с сайта электронной коммерции.

Согласно отчету Symantec об угрозах интернет-безопасности за 2019 год , в 2018 году хакеры-взломщики каждый месяц взламывали 4818 уникальных веб-сайтов. В течение года Symantec блокировал более 3,7 миллиона попыток взлома.

Более того, более 1 миллиона попыток захвата формы совершено в течение последних двух месяцев 2018 года — нарастание к ноябрьским выходным в Черную пятницу и далее в течение периода рождественских покупок в декабре.

Итак, как работает атака с помощью кражи?

Formjacking включает в себя вставку вредоносного кода на веб-сайт провайдера электронной коммерции. Вредоносный код крадет информацию об оплате, такую ​​как данные карты, имена и другую личную информацию, обычно используемую при совершении покупок в Интернете. Украденные данные отправляются на сервер для повторного использования или продажи, жертва не знает, что их платежная информация взломана.

В целом, это кажется основным. Это далеко от этого. Один хакер использовал 22 строки кода для модификации скриптов, запущенных на сайте British Airways. Злоумышленник похитил 380 000 деталей кредитной карты, в результате чего было получено более 13 миллионов фунтов стерлингов.

В этом заключается очарование. Недавние громкие атаки на British Airways, TicketMaster UK, Newegg, Home Depot и Target объединяют общий знаменатель: кража форм.

Кто стоит за нападениями на форму?

Исследователям безопасности всегда сложно определить одного злоумышленника, когда так много уникальных веб-сайтов становятся жертвами одной атаки (или, по крайней мере, стиля атаки). Как и в случае с другими недавними волнами киберпреступности, преступника не существует. Вместо этого большинство форм-краж происходит от групп Magecart.

Название происходит от программного обеспечения, которое хакерские группы используют для внедрения вредоносного кода в уязвимые сайты электронной коммерции. Это вызывает некоторую путаницу, и вы часто видите, как Magecart используется как единое целое для описания хакерской группы. На самом деле, многочисленные хакерские группы Magecart атакуют разные цели, используя разные приемы.

Йонатан Клинсма, исследователь угроз в RiskIQ, отслеживает различные группы Magecart. В недавнем отчете, опубликованном компанией Flashpoint, занимающейся разведкой рисков, Клейнсма подробно описывает шесть различных групп, использующих Magecart, работающих под одним и тем же именем, чтобы избежать обнаружения.

В отчете Inside Magecart [PDF] рассматривается, что делает каждую из ведущих групп Magecart уникальной:

  • Группа 1 и 2: атаковать широкий круг целей, использовать автоматизированные инструменты для взлома и просмотра сайтов; Монетизирует украденные данные, используя сложную схему пересылки.
  • Группа 3: Очень большой объем целей, работает уникальный инжектор и скиммер.
  • Группа 4: Одна из наиболее продвинутых групп, смешивающаяся с сайтами жертвы с использованием ряда инструментов обфускации.
  • Группа 5: Цели сторонних поставщиков, чтобы нарушить несколько целей, ссылки на атаку Ticketmaster.
  • Группа 6: Выборочное нацеливание на чрезвычайно ценные веб-сайты и услуги, включая атаки British Airways и Newegg.

Как видите, группы теневые и используют разные приемы. Кроме того, группы Magecart соревнуются за создание эффективного продукта для кражи учетных данных. Цели разные, поскольку некоторые группы специально стремятся к высокой отдаче. Но по большей части они плавают в одном бассейне. (Эти шесть не единственные группы Magecart там.)

Продвинутая группа 4

В исследовательской работе RiskIQ группа 4 определяется как «продвинутая». Что это означает в контексте кражи форм?

Группа 4 пытается слиться с веб-сайтом, который она внедряет. Вместо создания дополнительного неожиданного веб-трафика, который может заметить сетевой администратор или исследователь безопасности, Группа 4 пытается генерировать «естественный» трафик. Это достигается путем регистрации доменов, «имитирующих поставщиков рекламы, поставщиков аналитики, домены жертвы и все остальное», что помогает им скрываться на виду.

Кроме того, Group 4 регулярно изменяет внешний вид своего скиммера, внешний вид URL, серверы эксфильтрации данных и многое другое. Есть еще кое-что.

Скиммер для захвата формы 4 группы сначала проверяет URL-адрес извлечения, на котором он функционирует. Затем, в отличие от всех других групп, скиммер Группы 4 заменяет платежную форму своей собственной, предоставляя форму скимминга непосредственно клиенту (читай: жертва). Замена формы «стандартизирует данные для извлечения», облегчая повторное использование или продажу.

RiskIQ заключает, что «эти передовые методы в сочетании со сложной инфраструктурой указывают на вероятную историю в экосистеме банковских вредоносных программ. , , но они перевели свой MO [Modus Operandi] в сторону скимминга карт, потому что это намного проще, чем банковское мошенничество ».

Как Formjacking группы делают деньги?

В большинстве случаев украденные учетные данные продаются в Интернете. Существует множество международных и русскоязычных форумов по кардингу с длинными списками украденных кредитных карт и другой банковской информацией. Они не являются незаконным, зловещим типом сайта, который вы можете себе представить.

Некоторые из самых популярных карточных сайтов представляют собой профессиональную экипировку — отличный английский, совершенная грамматика, обслуживание клиентов; все, что вы ожидаете от законного сайта электронной коммерции.

Магикарта

Группы Magecart также перепродают свои пакеты с угонщиками другим потенциальным киберпреступникам. Аналитики Flashpoint обнаружили на российском хакерском форуме рекламу специально разработанных комплектов скиммеров для захвата форм. Наборы варьируются от 250 до 5000 долл. В зависимости от сложности, а поставщики демонстрируют уникальные модели ценообразования.

Например, один вендор предлагал бюджетные версии профессиональных инструментов, видных громкими атаками на взлом.

Группы Formjacking также предлагают доступ к скомпрометированным веб-сайтам, цены на которые начинаются с $ 0,50, в зависимости от рейтинга сайта, хостинга и других факторов. Те же аналитики Flashpoint обнаружили около 3000 взломанных веб-сайтов в продаже на том же хакерском форуме.

Кроме того, на том же форуме работало «более десятка продавцов и сотни покупателей».

Как вы можете остановить атаку Formjacking?

Скиммеры Magecart используют JavaScript для использования платежных форм клиентов. Использование блокировщика сценариев на основе браузера обычно достаточно, чтобы остановить атаку с помощью кражи ваших данных.

  • Пользователи Chrome должны проверить ScriptSafe
  • Пользователи Firefox могут использовать NoScript
  • Пользователи Opera могут использовать ScriptSafe
  • Пользователи Safari должны проверить JSBlocker

После того, как вы добавите в браузер одно из расширений, блокирующих скрипты, у вас будет значительно больше защиты от атак, направленных на взлом. Это не идеально, хотя .

В отчете RiskIQ предлагается избегать небольших сайтов, которые не имеют такой же уровень защиты, как основной сайт. Нападения на British Airways, Newegg и Ticketmaster предполагают, что совет не совсем обоснован. Не сбрасывайте со счетов это все же. На сайте электронной коммерции, посвященном мамам и поп-музыке, скорее всего, будет размещен скрипт Mackcart.

Другое смягчение — Malwarebytes Premium. Malwarebytes Premium предлагает сканирование в режиме реального времени и защиту в браузере. Премиум-версия защищает именно от такого рода атак. Не уверены в обновлении? Вот пять веских причин для перехода на Malwarebytes Premium перехода на Malwarebytes Premium !

Похожие посты
Безопасность

Лучшие 36 сочетаний клавиш для Microsoft Edge и IE 11

Безопасность

Управляйте браузером Firefox с помощью команд «О программе»

Безопасность

Microsoft Security Essentials Бесплатное антивирусное программное обеспечение

Безопасность

Avira Rescue System v16