Den store sikkerhetsrisikoen på nettet i 2019 ser ut som om det kan være formjacking. Slik kan hackere stjele dataene dine fra nettsteder.

Hva er formjacking, og hvordan kan du unngå det?

Annonse 2017 var året for ransomware. 2018 handlet om kryptering. 2019 formes opp som formjacking-året. Drastiske reduksjoner i verdien av kryptokurser som Bitcoin og Monero betyr at nettkriminelle leter andre steder etter uredelig fortjeneste. Hvilket bedre sted enn å stjele bankinformasjonen din direkte fra produktordreskjemaet, før du selv trykker på send. Det

Annonse

2017 var året for ransomware. 2018 handlet om kryptering. 2019 formes opp som formjacking-året.

Drastiske reduksjoner i verdien av kryptokurser som Bitcoin og Monero betyr at nettkriminelle leter andre steder etter uredelig fortjeneste. Hvilket bedre sted enn å stjele bankinformasjonen din direkte fra produktordreskjemaet, før du selv trykker på send. Det er riktig; de bryter ikke inn i banken din. Angriperne løfter dataene dine før det kommer så langt.

Her er hva du trenger å vite om formjacking.

Hva er formjacking?

Et formjacking-angrep er en måte for en nettkriminell å avskjære bankinformasjonen din direkte fra et e-handelsnettsted.

I følge Symantec Internet Security Threat Report 2019 kompromitterte formjackere på 4 818 unike nettsteder hver måned i 2018. I løpet av året blokkerte Symantec over 3, 7 millioner formjackingforsøk.

Videre kom over 1 million av disse formjacking-forsøkene i løpet av de to siste månedene av 2018 - og gikk opp mot Black Friday-helgen i november og videre gjennom hele julehandelen i desember.

Å se en uptick i infeksjoner og reinfeksjoner i MageCart-stil har ikke svindlere ferie.

- natmchugh (@natmchugh) 21. desember 2018

Så, hvordan fungerer et formjacking-angrep?

Formjacking innebærer å sette inn ondsinnet kode på nettstedet til en netthandelsleverandør. Den ondsinnede koden stjeler betalingsinformasjon som kortdetaljer, navn og annen personlig informasjon som ofte brukes når du handler online. De stjålne dataene blir sendt til en server for gjenbruk eller salg, offeret er ikke klar over at betalingsinformasjonen deres er kompromittert.

Alt i alt virker det grunnleggende. Det er langt fra. En hacker brukte 22 linjer med kode for å endre skript som kjørte på nettstedet British Airways. Angriperen stjal 380.000 kredittkortdetaljer og nettet over 13 millioner pund i prosessen.

Der ligger tiltrekket. Nyere høyprofilerte angrep på British Airways, TicketMaster UK, Newegg, Home Depot og Target deler en fellesnevner: formjacking.

Hvem står bak formjacking-angrepene?

Det er alltid vanskelig for sikkerhetsforskere å identifisere en enkelt angriper når så mange unike nettsteder blir offer for et enkelt angrep (eller i det minste angrepsstil). Som med andre nylige nettkriminalitetsbølger, er det ingen eneste gjerningsmann. I stedet stammer flertallet av formjacking fra Magecart-grupper.

Besluttet å gå med RSA-stander i dag for å spørre hver leverandør som bruker Magecart i sin markedsføring om hva det var. Til svar til dags dato er tilsynelatende:

- Et stort angrep på organisasjonen min
- Et stort foretak av kriminelle fra Russland
- Et svært sofistikert angrep som jeg trenger produkt X for

1 / n

- Y ??????? K ???? e ?? (@ydklijnsma) 6. mars 2019

Navnet stammer fra programvaren hackingsgruppene bruker for å injisere ondsinnet kode på utsatte e-handelssteder. Det forårsaker litt forvirring, og du ser ofte Magecart brukes som en entall enhet for å beskrive en hackinggruppe. I virkeligheten angriper mange Magecart-hackinggrupper forskjellige mål ved bruk av forskjellige teknikker.

Yonathan Klijnsma, en trusselforsker ved RiskIQ, sporer de forskjellige Magecart-gruppene. I en fersk rapport publisert med risikobevisningsfirmaet Flashpoint, beskriver Klijnsma seks forskjellige grupper som bruker Magecart, som opererer under samme moniker for å unngå deteksjon.

Inne Magecart-rapporten [PDF] utforsker hva som gjør hver av de ledende Magecart-gruppene unike:

  • Gruppe 1 og 2: angrip et bredt spekter av mål, bruk automatiserte verktøy for å bryte og skumme steder; tjener penger på stjålne data ved å bruke et sofistikert omleveringsskjema.
  • Gruppe 3: Meget høyt målvolum, driver en unik injektor og skimmer.
  • Gruppe 4: En av de mest avanserte gruppene, smelter sammen med offersteder ved hjelp av en rekke obfuskeringsverktøy.
  • Gruppe 5: Retter seg mot tredjepartsleverandører for å bryte flere mål, lenker til Ticketmaster-angrepet.
  • Gruppe 6: Selektiv målretting av nettsteder og tjenester med ekstrem verdi, inkludert British Airways og Newegg-angrep.

Som du ser er gruppene skyggefulle og bruker forskjellige teknikker. Videre konkurrerer Magecart-gruppene om å lage et effektivt legitimasjons stjele produkt. Målene er forskjellige, ettersom noen grupper spesifikt sikter mot avkastning med høy verdi. Men for det meste svømmer de i samme basseng. (Disse seks er ikke de eneste Magecart-gruppene der ute.)

Avansert gruppe 4

Forskningsoppgaven RiskIQ identifiserer gruppe 4 som "avansert." Hva betyr det i sammenheng med formjacking?

Gruppe 4 forsøker å blande seg inn på nettstedet det infiltrerer. I stedet for å opprette ekstra uventet webtrafikk som en nettverksadministrator eller sikkerhetsforsker kan oppdage, prøver gruppe 4 å generere "naturlig" trafikk. Det gjør dette ved å registrere domener “etterligne annonseleverandører, analyseleverandører, offerets domener og alt annet” som hjelper dem å skjule seg i synet.

I tillegg endrer gruppe 4 regelmessig utseendet til skimmeren, hvordan URL-ene ser ut, dataexfiltreringsserverne og mer. Det er mer.

Gruppe 4 formjacking skimmer validerer først kassen URLen den fungerer på. Da, i motsetning til alle andre grupper, erstatter skimmeren Group 4 betalingsskjemaet med en av sine egne, og serverer skimming-skjemaet direkte til kunden (les: offeret). Bytte ut skjemaet "standardiserer dataene du vil trekke ut", noe som gjør det lettere å gjenbruke eller selge på.

RiskIQ konkluderer med at “disse avanserte metodene kombinert med sofistikert infrastruktur indikerer en sannsynlig historie i økosystemet for skadelig malware. . . men de overførte sin MO [Modus Operandi] mot kortskumling fordi det er mye enklere enn banksvindel. ”

Hvordan tjener formjacking-grupper?

Det meste av tiden blir de stjålne legitimasjonene solgt på nettet. Her er hvor mye din identitet kan være verdt på det mørke nettet. Her er hvor mye identiteten din kan være verdt på den mørke nettet. Det er ubehagelig å tenke på deg selv som en vare, men all din personlige detaljer, fra navn og adresse til bankkontodetaljer, er verdt noe for kriminelle på nettet. Hvor mye er du verdt? Les mer . Det finnes mange internasjonale og russiskspråklige kartfora med lange lister over stjålet kredittkort og annen bankinformasjon. De er ikke den illegale, snuskede typen nettsted du kanskje forestiller deg.

Noen av de mest populære kortsidene presenterer seg som et profesjonelt antrekk - perfekt engelsk, perfekt grammatikk, kundeservice; alt du forventer av et legitimt e-handelsnettsted.

magecart formjacking riskiq research

Magecart-grupper videreselger også sine formjacking-pakker til andre nettopp cyberkriminelle. Analytikere for Flashpoint fant annonser for tilpassede formjacking skimmer-sett på et russisk hackingforum. Settene varierer fra $ 250 til $ 5000 avhengig av kompleksitet, med leverandører som viser unike prismodeller.

For eksempel tilbød en leverandør budsjettversjoner av profesjonelle verktøy sett de høyprofilerte formjacking-angrepene.

Formjacking-grupper tilbyr også tilgang til kompromitterte nettsteder, med priser som starter så lave som $ 0, 50, avhengig av nettstedets rangering, hosting og andre faktorer. De samme Flashpoint-analytikerne oppdaget rundt 3000 brudd på nettsteder som var på salg på det samme hackingforumet.

Videre var det “mer enn et dusin selgere og hundrevis av kjøpere” som opererte på samme forum.

Hvordan kan du stoppe et formjacking-angrep?

Magecart formjacking skimmers bruker JavaScript for å utnytte kundens betalingsformer. Å bruke en nettleserbasert skriptblokkering er vanligvis nok til å stoppe et formjacking-angrep som stjeler dataene dine.

  • Chrome-brukere bør sjekke ut ScriptSafe
  • Firefox-brukere kan bruke NoScript
  • Opera-brukere kan bruke ScriptSafe
  • Safari-brukere bør sjekke ut JSBlocker

Når du har lagt til en av skriptblokkeringsutvidelsene i nettleseren din, vil du ha betydelig mer beskyttelse mot formjacking-angrep. Det er ikke perfekt .

RiskIQ-rapporten antyder å unngå mindre nettsteder som ikke har samme beskyttelsesnivå som et stort nettsted. Angrep på British Airways, Newegg og Ticketmaster antyder at rådene ikke er helt forsvarlige. Ikke rabatt på det. Et e-handelsnettsted for mamma og pop er sannsynligvis vertskap for et Magecart formjacking-skript.

En annen formildring er Malwarebytes Premium. Malwarebytes Premium tilbyr skanning i sanntid og beskyttelse i nettleseren. Premium-versjonen beskytter mot nettopp denne typen angrep. Er du usikker på om oppgradering? Her er fem gode grunner til å oppgradere til Malwarebytes Premium 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det 5 grunner til å oppgradere til Malwarebytes Premium: Ja, det er verdt det Mens gratisversjonen av Malwarebytes er fantastisk, har premiumversjonen en haug med nyttige og verdige funksjoner. Les mer !

Utforsk mer om: Formjacking, Online Security.