Hvad er formjacking, og hvordan kan du undgå det?
Reklame
2017 var året for ransomware. 2018 handlede om cryptojacking. 2019 udformes som formjacking-året.
Drastiske fald i værdien af kryptokurser som Bitcoin og Monero betyder, at cyberkriminelle søger andre steder efter svigagtig fortjeneste. Hvilket bedre sted end at stjæle dine bankoplysninger direkte fra formularen til ordreafgivelse, inden du selv trykker på indsende. Det er rigtigt; de bryder ikke ind i din bank. Angribere løfter dine data, inden de endda kommer så langt.
Her er hvad du har brug for at vide om formjacking.
Hvad er formjacking?
Et formjacking-angreb er en måde for en cyberkriminel at aflytte dine bankoplysninger direkte fra et e-handelswebsted.
Ifølge Symantec Internet Security Threat Report 2019 kompromitterede formjackere på kompromis med 4.818 unikke websteder hver måned i 2018. I løbet af året blokerede Symantec over 3, 7 millioner formjackingforsøg.
Desuden kom over 1 million af disse formjackingforsøg i løbet af de sidste to måneder af 2018 - rampet op mod november Black Friday-weekenden og videre i hele juleindkøbstiden i december.
At se en uptick i MageCart-infektioner og reinfektioner har svindlere ikke ferie.
- natmchugh (@natmchugh) 21. december 2018
Så hvordan fungerer et formjacking-angreb?
Formjacking indebærer indsættelse af ondsindet kode på webstedet for en e-handelsudbyder. Den ondsindede kode stjæler betalingsoplysninger såsom kortoplysninger, navne og andre personlige oplysninger, der ofte bruges, mens du handler online. De stjålne data sendes til en server til genbrug eller salg, hvor offeret ikke er klar over, at deres betalingsoplysninger er kompromitteret.
Alt i alt virker det grundlæggende. Det er langt fra det. En hacker brugte 22 linjer med kode til at ændre scripts, der kører på British Airways-webstedet. Angriberen stjal 380.000 kreditkortoplysninger og nettede over 13 millioner pund i processen.
Derefter ligger lokkemåden. De seneste høje profilerede angreb på British Airways, TicketMaster UK, Newegg, Home Depot og Target deler en fællesnævner: formjacking.
Hvem står bag formjacking-angrebene?
Det er altid vanskeligt for sikkerhedsforskere at identificere en enkelt angriber, når så mange unikke websteder bliver offer for et enkelt angreb (eller i det mindste angrebsstil). Som med andre nylige cyberkriminalitetsbølger er der ingen eneste gerningsmand. I stedet stammer størstedelen af formjacking fra Magecart-grupper.
Besluttet at gå forbi RSA-kabiner i dag for at spørge enhver sælger, der bruger Magecart i deres markedsføring, hvad det var. Til dato er svarene tilsyneladende:
- Et stort angreb på min organisation
- En stor virksomhed med kriminelle fra Rusland
- Et meget sofistikeret angreb, som jeg har brug for produkt X til1 / n
- Y ??????? K ???? s ?? (@ydklijnsma) 6. marts, 2019
Navnet stammer fra softwaren, som hackinggrupperne bruger til at injicere ondsindet kode på sårbare e-handelswebsteder. Det medfører en vis forvirring, og du ser ofte Magecart brugt som en ental enhed til at beskrive en hackinggruppe. I virkeligheden angriber mange Magecart-hackinggrupper forskellige mål ved hjælp af forskellige teknikker.
Yonathan Klijnsma, en trusselforsker ved RiskIQ, sporer de forskellige Magecart-grupper. I en nylig rapport, der blev offentliggjort med risikobegrænsningsfirmaet Flashpoint, beskriver Klijnsma seks forskellige grupper, der bruger Magecart, der opererer under samme moniker for at undgå detektion.
Rapporten Inside Magecart [PDF] undersøger, hvad der gør hver af de førende Magecart-grupper unikke:
- Gruppe 1 & 2: Angreb en lang række mål, brug automatiserede værktøjer til at bryde og skumme steder; indtægter stjålne data ved hjælp af en sofistikeret genforsendelsesordning.
- Gruppe 3: Meget stort antal mål, driver en unik injektor og skimmer.
- Gruppe 4: En af de mest avancerede grupper, blandes med ofrepladser ved hjælp af en række obfuskationsværktøjer.
- Gruppe 5: Retter sig mod tredjepartsleverandører mod at overtræde flere mål, links til Ticketmaster-angrebet.
- Gruppe 6: Selektiv målretning af websteder og tjenester med ekstrem værdi, herunder angreb fra British Airways og Newegg.
Som du kan se, er grupperne skyggefulde og bruger forskellige teknikker. Derudover konkurrerer Magecart-grupperne om at skabe et effektivt legitimations stjæleprodukt. Målene er forskellige, da nogle grupper specifikt sigter mod afkast med høj værdi. Men for det meste svømmer de i den samme pool. (Disse seks er ikke de eneste Magecart-grupper derude.)
Avanceret gruppe 4
ResearchIQ-forskningsdokumentet identificerer gruppe 4 som "avanceret." Hvad betyder det i forbindelse med formjacking?
Gruppe 4 forsøger at blande sig ind med det websted, det infiltrerer. I stedet for at oprette yderligere uventet webtrafik, som en netværksadministrator eller sikkerhedsforsker kan se, forsøger Gruppe 4 at generere "naturlig" trafik. Det gør dette ved at registrere domæner "efterligne annonceudbydere, analytiske udbydere, offerets domæner og alt andet", der hjælper dem med at skjule sig i synet.
Derudover ændrer Gruppe 4 regelmæssigt udseendet på sin skimmer, hvordan dens URL'er ser ud, dataeksfiltrationsserverne og mere. Der er mere.
Gruppe 4-formjacking-skimmer validerer først den checkout-URL, som den fungerer på. I modsætning til alle andre grupper erstatter skimmer Group 4 betalingsformularen med en af deres egne, og serverer skimmingformularen direkte til kunden (læs: offer). Udskiftning af formularen "standardiserer data, der skal trækkes ud", hvilket gør det lettere at genbruge eller sælge videre.
RiskIQ konkluderer, at “disse avancerede metoder kombineret med sofistikeret infrastruktur indikerer en sandsynlig historie i det økonomiske malware-økosystem. . . men de overførte deres MO [Modus Operandi] i retning af skumning af kort, fordi det er meget lettere end banksvindel. ”
Hvordan tjener formjacking-grupper penge?
Det meste af tiden sælges de stjålne legitimationsoplysninger online. Her er, hvor meget din identitet kan være værd på det mørke web. Her er, hvor meget din identitet kan være værd på det mørke web. Det er ubehageligt at betragte dig selv som en vare, men alle dine personlige detaljer, fra navn og adresse til bankkontodetaljer, er noget værd for online kriminelle. Hvor meget er du værd? Læs mere . Der er adskillige internationale og russisk-sproglige kortfora med lange lister over stjålet kreditkort og anden bankinformation. De er ikke den ulovlige, snuskede type websted, du muligvis forestiller dig.
Nogle af de mest populære kortsider præsenterer sig selv som et professionelt udstyr - perfekt engelsk, perfekt grammatik, kundeservice; alt hvad du forventer af et legitimt e-handelswebsted.
Magecart-grupper videresælger også deres formjacking-pakker til andre cyberkriminelle. Analytikere for Flashpoint fandt annoncer for tilpassede formjacking-skimmer-sæt på et russisk hackingforum. Sættene spænder fra omkring $ 250 til $ 5.000 afhængigt af kompleksitet, med leverandører, der viser unikke prismodeller.
For eksempel tilbyder en leverandør budgetversioner af professionelle værktøjer set som de høje profilformjacking-angreb.
Formjacking-grupper tilbyder også adgang til kompromitterede websteder, med priser, der starter så lave som $ 0, 50, afhængigt af webstedsrangering, hosting og andre faktorer. De samme Flashpoint-analytikere opdagede omkring 3.000 overtrådte websteder, der blev solgt på det samme hackingforum.
Derudover var der ”mere end et dusin sælgere og hundreder af købere”, der opererede på det samme forum.
Hvordan kan du stoppe et formjacking-angreb?
Magecart formjacking skimmers bruger JavaScript til at udnytte kundens betalingsformularer. Brug af en browser-baseret script-blokkering er normalt nok til at stoppe et formjacking-angreb, der stjæler dine data.
- Chrome-brugere bør tjekke ScriptSafe
- Firefox-brugere kan bruge NoScript
- Opera-brugere kan bruge ScriptSafe
- Safari-brugere bør tjekke JSBlocker
Når du har tilføjet en af script-blokerende udvidelser til din browser, har du markant mere beskyttelse mod formjacking-angreb. Det er dog ikke perfekt .
RiskIQ-rapporten antyder, at man undgår mindre steder, der ikke har det samme beskyttelsesniveau som et større sted. Angreb på British Airways, Newegg og Ticketmaster antyder, at rådgivning ikke er helt forsvarlig. Dog ikke rabat det. Et e-handelssted til mor og pop er mere tilbøjeligt til at være vært for et Magecart formjacking-script.
En anden afhjælpning er Malwarebytes Premium. Malwarebytes Premium tilbyder scanning i realtid og beskyttelse i browseren. Premium-versionen beskytter netop denne slags angreb. Usikker på opgradering? Her er fem fremragende grunde til at opgradere til Malwarebytes Premium 5 grunde til at opgradere til Malwarebytes Premium: Ja, det er det værd 5 grunde til at opgradere til Malwarebytes Premium: Ja, det er det værd, mens den gratis version af Malwarebytes er fantastisk, har premiumversionen en en masse nyttige og værdifulde funktioner. Læs mere !
Udforsk mere om: Formjacking, Online sikkerhed.