2017 год был годом вымогателей. 2018 год был полностью посвящен криптографии. 2019 год складывается как год угона.
Резкое снижение стоимости криптовалют, таких как биткойны и монеро, означает, что киберпреступники ищут в других местах мошенническую прибыль. Что может быть лучше, чем украсть банковскую информацию прямо из формы заказа продукта, прежде чем вы нажмете «отправить». Это верно; они не вломятся в ваш банк. Злоумышленники поднимают ваши данные еще до того, как они зашли так далеко.
Вот что вам нужно знать о краже форм.
Что такое Formjacking?
Атака с помощью кражи форм — это способ киберпреступника перехватить вашу банковскую информацию прямо с сайта электронной коммерции.
Согласно отчету Symantec об угрозах интернет-безопасности за 2019 год , в 2018 году хакеры-взломщики каждый месяц взламывали 4818 уникальных веб-сайтов. В течение года Symantec блокировал более 3,7 миллиона попыток взлома.
Более того, более 1 миллиона попыток захвата формы совершено в течение последних двух месяцев 2018 года — нарастание к ноябрьским выходным в Черную пятницу и далее в течение периода рождественских покупок в декабре.
Итак, как работает атака с помощью кражи?
Formjacking включает в себя вставку вредоносного кода на веб-сайт провайдера электронной коммерции. Вредоносный код крадет информацию об оплате, такую как данные карты, имена и другую личную информацию, обычно используемую при совершении покупок в Интернете. Украденные данные отправляются на сервер для повторного использования или продажи, жертва не знает, что их платежная информация взломана.
В целом, это кажется основным. Это далеко от этого. Один хакер использовал 22 строки кода для модификации скриптов, запущенных на сайте British Airways. Злоумышленник похитил 380 000 деталей кредитной карты, в результате чего было получено более 13 миллионов фунтов стерлингов.
В этом заключается очарование. Недавние громкие атаки на British Airways, TicketMaster UK, Newegg, Home Depot и Target объединяют общий знаменатель: кража форм.
Кто стоит за нападениями на форму?
Исследователям безопасности всегда сложно определить одного злоумышленника, когда так много уникальных веб-сайтов становятся жертвами одной атаки (или, по крайней мере, стиля атаки). Как и в случае с другими недавними волнами киберпреступности, преступника не существует. Вместо этого большинство форм-краж происходит от групп Magecart.
Название происходит от программного обеспечения, которое хакерские группы используют для внедрения вредоносного кода в уязвимые сайты электронной коммерции. Это вызывает некоторую путаницу, и вы часто видите, как Magecart используется как единое целое для описания хакерской группы. На самом деле, многочисленные хакерские группы Magecart атакуют разные цели, используя разные приемы.
Йонатан Клинсма, исследователь угроз в RiskIQ, отслеживает различные группы Magecart. В недавнем отчете, опубликованном компанией Flashpoint, занимающейся разведкой рисков, Клейнсма подробно описывает шесть различных групп, использующих Magecart, работающих под одним и тем же именем, чтобы избежать обнаружения.
В отчете Inside Magecart [PDF] рассматривается, что делает каждую из ведущих групп Magecart уникальной:
- Группа 1 и 2: атаковать широкий круг целей, использовать автоматизированные инструменты для взлома и просмотра сайтов; Монетизирует украденные данные, используя сложную схему пересылки.
- Группа 3: Очень большой объем целей, работает уникальный инжектор и скиммер.
- Группа 4: Одна из наиболее продвинутых групп, смешивающаяся с сайтами жертвы с использованием ряда инструментов обфускации.
- Группа 5: Цели сторонних поставщиков, чтобы нарушить несколько целей, ссылки на атаку Ticketmaster.
- Группа 6: Выборочное нацеливание на чрезвычайно ценные веб-сайты и услуги, включая атаки British Airways и Newegg.
Как видите, группы теневые и используют разные приемы. Кроме того, группы Magecart соревнуются за создание эффективного продукта для кражи учетных данных. Цели разные, поскольку некоторые группы специально стремятся к высокой отдаче. Но по большей части они плавают в одном бассейне. (Эти шесть не единственные группы Magecart там.)
Продвинутая группа 4
В исследовательской работе RiskIQ группа 4 определяется как «продвинутая». Что это означает в контексте кражи форм?
Группа 4 пытается слиться с веб-сайтом, который она внедряет. Вместо создания дополнительного неожиданного веб-трафика, который может заметить сетевой администратор или исследователь безопасности, Группа 4 пытается генерировать «естественный» трафик. Это достигается путем регистрации доменов, «имитирующих поставщиков рекламы, поставщиков аналитики, домены жертвы и все остальное», что помогает им скрываться на виду.
Кроме того, Group 4 регулярно изменяет внешний вид своего скиммера, внешний вид URL, серверы эксфильтрации данных и многое другое. Есть еще кое-что.
Скиммер для захвата формы 4 группы сначала проверяет URL-адрес извлечения, на котором он функционирует. Затем, в отличие от всех других групп, скиммер Группы 4 заменяет платежную форму своей собственной, предоставляя форму скимминга непосредственно клиенту (читай: жертва). Замена формы «стандартизирует данные для извлечения», облегчая повторное использование или продажу.
RiskIQ заключает, что «эти передовые методы в сочетании со сложной инфраструктурой указывают на вероятную историю в экосистеме банковских вредоносных программ. , , но они перевели свой MO [Modus Operandi] в сторону скимминга карт, потому что это намного проще, чем банковское мошенничество ».
Как Formjacking группы делают деньги?
В большинстве случаев украденные учетные данные продаются в Интернете. Существует множество международных и русскоязычных форумов по кардингу с длинными списками украденных кредитных карт и другой банковской информацией. Они не являются незаконным, зловещим типом сайта, который вы можете себе представить.
Некоторые из самых популярных карточных сайтов представляют собой профессиональную экипировку — отличный английский, совершенная грамматика, обслуживание клиентов; все, что вы ожидаете от законного сайта электронной коммерции.
Группы Magecart также перепродают свои пакеты с угонщиками другим потенциальным киберпреступникам. Аналитики Flashpoint обнаружили на российском хакерском форуме рекламу специально разработанных комплектов скиммеров для захвата форм. Наборы варьируются от 250 до 5000 долл. В зависимости от сложности, а поставщики демонстрируют уникальные модели ценообразования.
Например, один вендор предлагал бюджетные версии профессиональных инструментов, видных громкими атаками на взлом.
Группы Formjacking также предлагают доступ к скомпрометированным веб-сайтам, цены на которые начинаются с $ 0,50, в зависимости от рейтинга сайта, хостинга и других факторов. Те же аналитики Flashpoint обнаружили около 3000 взломанных веб-сайтов в продаже на том же хакерском форуме.
Кроме того, на том же форуме работало «более десятка продавцов и сотни покупателей».
Как вы можете остановить атаку Formjacking?
Скиммеры Magecart используют JavaScript для использования платежных форм клиентов. Использование блокировщика сценариев на основе браузера обычно достаточно, чтобы остановить атаку с помощью кражи ваших данных.
- Пользователи Chrome должны проверить ScriptSafe
- Пользователи Firefox могут использовать NoScript
- Пользователи Opera могут использовать ScriptSafe
- Пользователи Safari должны проверить JSBlocker
После того, как вы добавите в браузер одно из расширений, блокирующих скрипты, у вас будет значительно больше защиты от атак, направленных на взлом. Это не идеально, хотя .
В отчете RiskIQ предлагается избегать небольших сайтов, которые не имеют такой же уровень защиты, как основной сайт. Нападения на British Airways, Newegg и Ticketmaster предполагают, что совет не совсем обоснован. Не сбрасывайте со счетов это все же. На сайте электронной коммерции, посвященном мамам и поп-музыке, скорее всего, будет размещен скрипт Mackcart.
Другое смягчение — Malwarebytes Premium. Malwarebytes Premium предлагает сканирование в режиме реального времени и защиту в браузере. Премиум-версия защищает именно от такого рода атак. Не уверены в обновлении? Вот пять веских причин для перехода на Malwarebytes Premium перехода на Malwarebytes Premium !