Reklame

2017 var året for ransomware. 2018 handlede om cryptojacking. 2019 udformes som formjacking-året.

Drastiske fald i værdien af ​​kryptokurser som Bitcoin og Monero betyder, at cyberkriminelle søger andre steder efter svigagtig fortjeneste. Hvilket bedre sted end at stjæle dine bankoplysninger direkte fra formularen til ordreafgivelse, inden du selv trykker på indsende. Det er rigtigt; de bryder ikke ind i din bank. Angribere løfter dine data, inden de endda kommer så langt.

Her er hvad du har brug for at vide om formjacking.

Hvad er formjacking?

Et formjacking-angreb er en måde for en cyberkriminel at aflytte dine bankoplysninger direkte fra et e-handelssted.

Ifølge Symantec Internet Security Threat Report 2019, formjackers kompromitterede 4.818 unikke websteder hver måned i 2018. I løbet af året blokerede Symantec over 3,7 millioner formjackingforsøg.

Desuden kom over 1 million af disse formjackingforsøg i de sidste to måneder af 2018 - rampe op mod november Black Friday-weekenden og videre gennem hele julens shoppingperiode.

instagram viewer

At se en uptick i MageCart-infektioner og reinfektioner har svindlere ikke ferie.

- natmchugh (@natmchugh) 21. december 2018

Så hvordan fungerer et formjacking-angreb?

Formjacking involverer indsættelse af ondsindet kode på webstedet for en e-handelsudbyder. Den ondsindede kode stjæler betalingsoplysninger såsom kortoplysninger, navn og andre personlige oplysninger, der ofte bruges, mens du handler online. De stjålne data sendes til en server til genbrug eller salg, hvor offeret ikke er klar over, at deres betalingsoplysninger er kompromitteret.

Alt i alt virker det grundlæggende. Det er langt fra det. En hacker brugte 22 linjer med kode til at ændre scripts, der kører på British Airways-webstedet. Angriberen stjal 380.000 kreditkortoplysninger og nettede over 13 millioner pund i processen.

Deri ligger lokkemidlet. De seneste høje profilerede angreb på British Airways, TicketMaster UK, Newegg, Home Depot og Target deler en fællesnævner: formjacking.

Hvem står bag formjacking-angrebene?

Det er altid vanskeligt for sikkerhedsforskere at identificere en enkelt angriber, når så mange unikke websteder bliver offer for et enkelt angreb (eller i det mindste angrebsstil). Som med andre nylige cyberkriminalitetsbølger er der ingen eneste gerningsmand. I stedet stammer størstedelen af ​​formjacking fra Magecart-grupper.

Besluttet at gå forbi RSA-kabiner i dag for at spørge enhver sælger, der bruger Magecart i deres markedsføring, hvad det var. Svarene til dato er tilsyneladende:

- Et stort angreb på min organisation
- En stor virksomhed med kriminelle fra Rusland
- Et meget sofistikeret angreb, som jeg har brug for produkt X til

1 / n

- Y??? K??? s?? (@Ydklijnsma) 6. marts, 2019

Navnet stammer fra softwaren, som hackinggrupperne bruger til at injicere ondsindet kode på sårbare e-handelswebsteder. Det forårsager en vis forvirring, og du ser ofte Magecart brugt som en ental enhed til at beskrive en hackinggruppe. I virkeligheden angriber mange Magecart-hackinggrupper forskellige mål ved hjælp af forskellige teknikker.

Yonathan Klijnsma, en trusselforsker ved RiskIQ, sporer de forskellige Magecart-grupper. I en nylig rapport, der blev offentliggjort med risikobegrænsningsfirmaet Flashpoint, beskriver Klijnsma seks forskellige grupper, der bruger Magecart, der opererer under samme moniker for at undgå detektion.

Det Inde i Magecart-rapport [PDF] udforsker, hvad der gør hver af de førende Magecart-grupper unikke:

  • Gruppe 1 & 2: Angribe en bred vifte af mål, brug automatiserede værktøjer til at bryde og skumme steder; indtægter stjålne data ved hjælp af en sofistikeret genforsendelsesordning.
  • Gruppe 3: Meget stort antal mål, betjener en unik injektor og skimmer.
  • Gruppe 4: En af de mest avancerede grupper, blandes med ofrepladser ved hjælp af en række obfuskationsværktøjer.
  • Gruppe 5: Retter sig mod tredjepartsleverandører til at overtræde flere mål, links til Ticketmaster-angrebet.
  • Gruppe 6: Selektiv målretning mod ekstremt høj værdi-websteder og -tjenester, herunder British Airways og Newegg-angreb.

Som du kan se, er grupperne skyggefulde og bruger forskellige teknikker. Desuden konkurrerer Magecart-grupperne om at skabe et effektivt legitimations stjæleprodukt. Målene er forskellige, da nogle grupper specifikt sigter mod afkast med høj værdi. Men for det meste svømmer de i den samme pool. (Disse seks er ikke de eneste Magecart-grupper derude.)

Avanceret gruppe 4

ResearchIQ-forskningsdokumentet identificerer gruppe 4 som "avanceret." Hvad betyder det i forbindelse med formjacking?

Gruppe 4 forsøger at blande sig ind med det websted, det infiltrerer. I stedet for at oprette yderligere uventet webtrafik, som en netværksadministrator eller sikkerhedsforsker kan se, forsøger Gruppe 4 at generere "naturlig" trafik. Det gør dette ved at registrere domæner "efterligne annonceudbydere, analyseudbydere, offerets domæner og alt andet", der hjælper dem med at skjule sig i synet.

Derudover ændrer gruppe 4 regelmæssigt udseendet på sin skimmer, hvordan dens URL'er ser ud, dataeksfiltrationsserverne og mere. Der er mere.

Gruppe 4 formjacking-skimmer validerer først kassen-URL'en, som den fungerer på. I modsætning til alle andre grupper erstatter skimmer Group 4 betalingsformularen med en af ​​deres egne, og serverer skimmingformularen direkte til kunden (læs: offer). Udskiftning af formularen "standardiserer data, der skal trækkes ud", hvilket gør det lettere at genbruge eller sælge videre.

RiskIQ konkluderer, at “disse avancerede metoder kombineret med sofistikeret infrastruktur indikerer en sandsynlig historie i det økologiske malware-økosystem... men de overførte deres MO [Modus Operandi] i retning af skumning af kort, fordi det er meget lettere end banksvindel. ”

Hvordan tjener formjacking-grupper penge?

Det meste af tiden, the stjålne legitimationsoplysninger sælges online Her er hvor meget din identitet kan være værd på det mørke webDet er ubehageligt at betragte dig selv som en vare, men alle dine personlige oplysninger, fra navn og adresse til bankkontodetaljer, er værd noget for online kriminelle. Hvor meget er du værd? Læs mere . Der er adskillige internationale og russisk-sproglige kortfora med lange lister over stjålet kreditkort og anden bankinformation. De er ikke den ulovlige, snuskede type websted, du muligvis forestiller dig.

Nogle af de mest populære kortsider præsenterer sig selv som et professionelt udstyr - perfekt engelsk, perfekt grammatik, kundeservice; alt hvad du forventer af et legitimt e-handelswebsted.

magecart formjacking riskiq research

Magecart-grupper videresælger også deres formjacking-pakker til andre cyberkriminelle. Analytikere for Flashpoint fandt annoncer for tilpassede formjacking-skimmer-sæt på et russisk hackingforum. Kits varierer fra omkring $ 250 til $ 5.000 afhængigt af kompleksitet, med leverandører, der viser unikke prismodeller.

For eksempel tilbød en leverandør budgetversioner af professionelle værktøjer set som de høje profilformjacking-angreb.

Formjacking-grupper tilbyder også adgang til kompromitterede websteder, med priser, der starter så lave som $ 0,50, afhængigt af webstedsrangering, hosting og andre faktorer. De samme Flashpoint-analytikere opdagede omkring 3.000 overtrådte websteder, der blev solgt på det samme hackingforum.

Derudover var der ”mere end et dusin sælgere og hundreder af købere”, der opererede på det samme forum.

Hvordan kan du stoppe et formjacking-angreb?

Magecart formjacking skimmers bruger JavaScript til at udnytte kundens betalingsformularer. Brug af en browser-baseret script-blokkering er normalt nok til at stoppe et formjacking-angreb, der stjæler dine data.

  • Chrome-brugere bør tjekke ud ScriptSafe
  • Firefox-brugere kan bruge NoScript
  • Opera-brugere kan bruge ScriptSafe
  • Safari-brugere bør tjekke ud JSBlocker

Når du har tilføjet en af ​​script-blokerende udvidelser til din browser, har du markant mere beskyttelse mod formjacking-angreb. Det er dog ikke perfekt.

RiskIQ-rapporten antyder, at man undgår mindre websteder, der ikke har samme beskyttelsesniveau som et større sted. Angreb på British Airways, Newegg og Ticketmaster antyder, at rådgivning ikke er helt forsvarlig. Dog ikke rabat på det. Et e-handelssted til mor og pop er mere sandsynligt at være vært for et Magecart formjacking-script.

En anden afhjælpning er Malwarebytes Premium. Malwarebytes Premium tilbyder scanning i realtid og beskyttelse i browseren. Premium-versionen beskytter netop denne form for angreb. Usikker på opgradering? Her er fem fremragende grunde til at opgradere til Malwarebytes Premium 5 grunde til at opgradere til Malwarebytes Premium: Ja, det er det værdMens den gratis version af Malwarebytes er fantastisk, har premium-versionen en masse nyttige og værdifulde funktioner. Læs mere !

Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskrivning med digital kunstpraksis, der er pilleret ud fra bjergene i Devon, samt over et årti med professionel skriftlig erfaring. Han nyder rigelige mængder te.