Ο μεγάλος κίνδυνος για online ασφάλεια του 2019 μοιάζει σαν να μπορούσε να είναι το formjacking. Δείτε πώς οι χάκερ κλέβουν τα δεδομένα σας από τις φόρμες ιστότοπων.

Τι είναι το Formjacking και πώς μπορείτε να το αποφύγετε;

Διαφήμιση Το 2017 ήταν το έτος ransomware. Το 2018 αφορούσε το cryptojacking. Το 2019 διαμορφώνεται ως το έτος της μορφοποίησης. Οι δραστικές μειώσεις στην αξία των κρυπτοσυχνοτήτων όπως οι Bitcoin και Monero σημαίνουν ότι οι κυβερνοεγκληματίες ψάχνουν αλλού για δόλια κέρδη. Τι καλύτερο μέρος από το να κλέψω τα τραπεζικά σας στοιχεία κατευθείαν από τη φόρμα παραγγελίας προϊόντων, προτού υποχωρήσετε ακόμη και να υποβάλετε. Σωστά; δεν εισέρχονται στην τρά

Διαφήμιση

Το 2017 ήταν το έτος ransomware. Το 2018 αφορούσε το cryptojacking. Το 2019 διαμορφώνεται ως το έτος της μορφοποίησης.

Οι δραστικές μειώσεις στην αξία των κρυπτοσυχνοτήτων όπως οι Bitcoin και Monero σημαίνουν ότι οι κυβερνοεγκληματίες ψάχνουν αλλού για δόλια κέρδη. Τι καλύτερο μέρος από το να κλέψω τα τραπεζικά σας στοιχεία κατευθείαν από τη φόρμα παραγγελίας προϊόντων, προτού υποχωρήσετε ακόμη και να υποβάλετε. Σωστά; δεν εισέρχονται στην τράπεζά σας. Οι επιτιθέμενοι ανυψώνουν τα δεδομένα σας προτού φτάσουν ακόμη και εκεί.

Εδώ είναι τι πρέπει να ξέρετε για το formjacking.

Τι είναι το Formjacking;

Μια επίθεση κατά του φόρουμ είναι ένας τρόπος για έναν εγκληματία του κυβερνοχώρου να παρακολουθεί απευθείας τις τραπεζικές σας πληροφορίες από έναν ιστότοπο ηλεκτρονικού εμπορίου.

Σύμφωνα με την Έκθεση για την Απειλή της Symantec Internet Security 2019, οι συνταξιούχοι παραβίασαν 4.818 μοναδικούς ιστότοπους κάθε μήνα το 2018. Κατά τη διάρκεια του έτους, η Symantec μπλόκαρε πάνω από 3.7 εκατομμύρια απόπειρες σχηματισμού.

Επιπλέον, πάνω από 1 εκατομμύριο από αυτές τις προσπάθειες σχηματισμού ήρθε κατά τη διάρκεια των τελευταίων δύο μηνών του 2018 - αυξάνεται προς το Σαββατοκύριακο της Μαύρης Παρασκευής το Νοέμβριο και στη συνέχεια καθ 'όλη την περίοδο των Χριστουγέννων του Δεκεμβρίου.

Βλέποντας ένα uptick σε μολύνσεις στυλ MageCart και reinfections απατεώνες δεν έχουν διακοπές.

- natmchugh (@natmchugh) 21 Δεκεμβρίου 2018

Λοιπόν, πώς λειτουργεί μια επίθεση σχηματισμού;

Το Formjacking περιλαμβάνει την εισαγωγή κακόβουλου κώδικα στον ιστότοπο ενός παρόχου ηλεκτρονικού εμπορίου. Ο κακόβουλος κώδικας κλέβει πληροφορίες πληρωμής, όπως στοιχεία της κάρτας, ονόματα και άλλες προσωπικές πληροφορίες που χρησιμοποιούνται συνήθως κατά την ηλεκτρονική αγορά. Τα κλεμμένα δεδομένα αποστέλλονται σε ένα διακομιστή για επαναχρησιμοποίηση ή πώληση, ενώ το θύμα αγνοεί ότι τα στοιχεία πληρωμής τους διακυβεύονται.

Συνολικά, φαίνεται βασικό. Είναι πολύ μακριά από αυτό. Ένας χάκερ χρησιμοποίησε 22 γραμμές κώδικα για να τροποποιήσει τα σενάρια που εκτελούνται στον ιστότοπο της British Airways. Ο επιτιθέμενος έκλεψε 380.000 στοιχεία πιστωτικών καρτών, συμψηφίζοντας πάνω από £ 13 εκατομμύρια στη διαδικασία.

Εκεί βρίσκεται η γοητεία. Πρόσφατες επιθέσεις υψηλού προφίλ στις British Airways, TicketMaster UK, Newegg, Home Depot και Target μοιράζονται έναν κοινό παρονομαστή: formjacking.

Ποιος είναι πίσω από τις επιθέσεις Formjacking;

Η εντοπισμός ενός μόνο επιτιθέμενου, όταν τόσοι πολλοί μοναδικοί ιστότοποι πέφτουν θύματα μιας ενιαίας επίθεσης (ή τουλάχιστον στυλ επίθεσης) είναι πάντα δύσκολο για τους ερευνητές ασφαλείας. Όπως και με άλλα πρόσφατα κύματα εγκληματικότητας στον κυβερνοχώρο, δεν υπάρχει κανένας ενόχων. Αντ 'αυτού, η πλειοψηφία των formjacking προέρχεται από τις ομάδες Magecart.

Αποφάσισε να πάει σήμερα από τους θαλάμους RSA για να ζητήσει από κάθε πωλητή που χρησιμοποιεί το Magecart στο μάρκετινγκ τους τι ήταν. Οι απαντήσεις μέχρι σήμερα είναι προφανώς:

- Μια μεγάλη επίθεση στην οργάνωσή μου
- Μια μεγάλη επιχείρηση εγκληματιών από τη Ρωσία
- Μια εξαιρετικά περίπλοκη επίθεση για την οποία χρειάζομαι το προϊόν Χ

1 / n

- Y ??????? K ???? s ?? (@ydklijnsma) 6 Μαρτίου 2019

Το όνομα προέρχεται από το λογισμικό που χρησιμοποιούν οι ομάδες hacking για να εισάγουν κακόβουλο κώδικα σε ευάλωτους ιστότοπους ηλεκτρονικού εμπορίου. Αυτό προκαλεί κάποια σύγχυση και συχνά βλέπετε ότι ο Magecart χρησιμοποιείται ως μοναδική οντότητα για να περιγράψει μια ομάδα hacking. Στην πραγματικότητα, πολλές ομάδες hacking της Magecart επιτίθενται σε διαφορετικούς στόχους, χρησιμοποιώντας διαφορετικές τεχνικές.

Ο Yonathan Klijnsma, ερευνητής απειλής στο RiskIQ, παρακολουθεί τις διάφορες ομάδες Magecart. Σε μια πρόσφατη έκθεση που δημοσιεύτηκε με την εταιρία πληροφοριών κινδύνου Flashpoint, η Klijnsma περιγράφει έξι διαφορετικές ομάδες χρησιμοποιώντας το Magecart, που λειτουργεί κάτω από το ίδιο μανικιούρ για να αποφευχθεί η ανίχνευση.

Η έκθεση Inside Magecart [PDF] διερευνά τι κάνει κάθε μια από τις κορυφαίες ομάδες Magecart μοναδική:

  • Ομάδα 1 & 2: Επίθεση ευρέος φάσματος στόχων, χρήση αυτοματοποιημένων εργαλείων για την παραβίαση και απομάκρυνση των τοποθεσιών. τιμολογεί κλεμμένα δεδομένα χρησιμοποιώντας ένα εξελιγμένο πρόγραμμα επανασύνδεσης.
  • Ομάδα 3: Πολύ μεγάλος όγκος στόχων, λειτουργεί ένα μοναδικό εγχυτήρα και skimmer.
  • Ομάδα 4: Μία από τις πιο προχωρημένες ομάδες, που μοιάζει με τις ιστοσελίδες των θυμάτων χρησιμοποιώντας μια σειρά εργαλείων περίφραξης.
  • Ομάδα 5: Στόχευση τρίτων προμηθευτών να παραβιάζουν πολλαπλούς στόχους, συνδέσεις με την επίθεση Ticketmaster.
  • Ομάδα 6: Επιλεκτική στόχευση ιστοτόπων και υπηρεσιών εξαιρετικής αξίας, συμπεριλαμβανομένων των επιθέσεων της British Airways και της Newegg.

Όπως μπορείτε να δείτε, οι ομάδες είναι σκιώδεις και χρησιμοποιούν διαφορετικές τεχνικές. Επιπλέον, οι ομάδες Magecart ανταγωνίζονται για να δημιουργήσουν ένα αποτελεσματικό προϊόν κλοπής διαπιστευτηρίων. Οι στόχοι είναι διαφορετικοί, καθώς ορισμένες ομάδες στοχεύουν συγκεκριμένα σε επιστροφές υψηλής αξίας. Αλλά, ως επί το πλείστον, κολυμπούν στην ίδια πισίνα. (Αυτές οι έξι δεν είναι οι μοναδικές ομάδες Magecart εκεί έξω).

Προηγμένη ομάδα 4

Το ερευνητικό έγγραφο RiskIQ προσδιορίζει την Ομάδα 4 ως "προηγμένη". Τι σημαίνει αυτό στο πλαίσιο της μορφοποίησης;

Η Ομάδα 4 επιχειρεί να συνδυάσει τον ιστότοπο με τον οποίο διεισδύει. Αντί να δημιουργήσει πρόσθετη απροσδόκητη επισκεψιμότητα ιστού που ενδέχεται να εντοπίσει ένας διαχειριστής δικτύου ή ερευνητής ασφάλειας, η Ομάδα 4 προσπαθεί να δημιουργήσει "φυσική" επισκεψιμότητα. Αυτό επιτυγχάνεται με την καταχώριση τομέων που μιμούνται τους παρόχους διαφημίσεων, τους παρόχους αναλύσεων, τους τομείς των θυμάτων και οτιδήποτε άλλο, που τους βοηθά να κρύβονται με καθαρή θέα.

Επιπλέον, η Ομάδα 4 τροποποιεί τακτικά την εμφάνιση του skimmer, τον τρόπο με τον οποίο εμφανίζονται οι διευθύνσεις URL, τους διακομιστές εξάτμισης δεδομένων και πολλά άλλα. Υπάρχουν περισσότερα.

Το skimmer formjacking της ομάδας 4 πρώτα επικυρώνει τη διεύθυνση URL του checkout στην οποία λειτουργεί. Στη συνέχεια, αντίθετα από όλες τις άλλες ομάδες, ο skimmer της ομάδας 4 αντικαθιστά τη φόρμα πληρωμής με έναν δικό της, εξυπηρετώντας τη φόρμα εξαγωγής απευθείας στον πελάτη (διαβάσετε: θύμα). Η αντικατάσταση της φόρμας "τυποποιεί τα δεδομένα για την απομάκρυνση", διευκολύνοντας την επαναχρησιμοποίηση ή την πώληση.

Το RiskIQ καταλήγει στο συμπέρασμα ότι "αυτές οι προηγμένες μέθοδοι σε συνδυασμό με εξελιγμένες υποδομές δείχνουν πιθανό ιστορικό στο οικοσύστημα των τραπεζών κακόβουλου λογισμικού. . . αλλά μετέφεραν το MO [Modus Operandi] προς την απομάκρυνση των καρτών επειδή είναι πολύ πιο εύκολη από την τραπεζική απάτη ".

Πώς γίνονται οι ομάδες Formjacking χρήματα;

Τις περισσότερες φορές, τα κλεμμένα διαπιστευτήρια πωλούνται σε απευθείας σύνδεση Εδώ είναι Πόσο η ταυτότητά σας θα μπορούσε να αξίζει τον σκοτεινό ιστό Εδώ είναι πόση ταυτότητα σας θα μπορούσε να αξίζει τον σκοτεινό ιστό Είναι άβολα να σκέφτεστε τον εαυτό σας ως ένα εμπόρευμα, αλλά όλα τα προσωπικά σας λεπτομέρειες, από το όνομα και τη διεύθυνση σε στοιχεία τραπεζικού λογαριασμού, αξίζουν κάτι για τους εγκληματίες στο διαδίκτυο. Πόσο αξίζετε; Διαβάστε περισσότερα . Υπάρχουν πολυάριθμα διεθνή και ρωσικά γλωσσικά φόρουμ με μακροχρόνιες καταχωρίσεις κλεμμένων πιστωτικών καρτών και άλλες τραπεζικές πληροφορίες. Δεν είναι ο παράνομος, κακός τύπος ιστότοπου που θα φανταστείτε.

Ορισμένες από τις πιο δημοφιλείς τοποθεσίες carding παρουσιάζονται ως επαγγελματική στολή - τέλεια αγγλική, τέλεια γραμματική, εξυπηρέτηση πελατών. όλα όσα περιμένετε από έναν νόμιμο ιστότοπο ηλεκτρονικού εμπορίου.

magecart formjacking riskiq έρευνα

Οι ομάδες Magecart μεταπωλούν επίσης τα πακέτα formjacking σε άλλους ενδεχόμενους κυβερνητικούς εγκληματίες. Οι αναλυτές για το Flashpoint βρήκαν διαφημίσεις για προσαρμοσμένα σετ σκίμερ formjacking σε ένα ρωσικό φόρουμ hacking. Τα κιτ κυμαίνονται από περίπου $ 250 έως $ 5.000 ανάλογα με την πολυπλοκότητα, με τους πωλητές να εμφανίζουν μοναδικά μοντέλα τιμολόγησης.

Για παράδειγμα, ένας προμηθευτής προσφέρει εκδόσεις προϋπολογισμού για επαγγελματικά εργαλεία, τα οποία είδαν τις υψηλού προφίλ επιθέσεις μορφοποίησης.

Οι ομάδες Formjacking προσφέρουν επίσης πρόσβαση σε συμβιβαστούς ιστότοπους, με τιμές ξεκινώντας από 0, 50 $, ανάλογα με την κατάταξη του ιστότοπου, τη φιλοξενία και άλλους παράγοντες. Οι ίδιοι αναλυτές του Flashpoint ανακάλυψαν περίπου 3.000 παρατραβηγμένες ιστοσελίδες προς πώληση στο ίδιο φόρουμ hacking.

Επιπλέον, υπήρχαν "περισσότερες από δώδεκα πωλητές και εκατοντάδες αγοραστές" που λειτουργούσαν στο ίδιο φόρουμ.

Πώς μπορείτε να σταματήσετε μια επίθεση Formjacking;

Οι μηχανές skimmers της Magecart χρησιμοποιούν JavaScript για να εκμεταλλευτούν τις φόρμες πληρωμής πελατών. Η χρήση αποκλειστικού προγράμματος δέσμης ενεργειών βασισμένου σε πρόγραμμα περιήγησης είναι συνήθως αρκετή για να σταματήσετε μια επίθεση από το crawler που κλέβει τα δεδομένα σας.

  • Οι χρήστες του Chrome θα πρέπει να ελέγξουν το ScriptSafe
  • Οι χρήστες του Firefox μπορούν να χρησιμοποιήσουν το NoScript
  • Οι χρήστες του Opera μπορούν να χρησιμοποιήσουν το ScriptSafe
  • Οι χρήστες Safari θα πρέπει να ελέγχουν το JSBlocker

Μόλις προσθέσετε μία από τις επεκτάσεις αποκλεισμού δέσμης ενεργειών στο πρόγραμμα περιήγησής σας, θα έχετε σημαντικά μεγαλύτερη προστασία από επιθέσεις φόρμας. Δεν είναι τέλεια όμως .

Η έκθεση RiskIQ προτείνει την αποφυγή μικρότερων τοποθεσιών που δεν έχουν το ίδιο επίπεδο προστασίας με έναν σημαντικό χώρο. Οι επιθέσεις στις British Airways, Newegg και Ticketmaster υποδηλώνουν ότι οι συμβουλές δεν είναι απολύτως υγιείς. Μην το εκπτώτε όμως. Μια ιστοσελίδα μαμά και pop e-commerce είναι πιο πιθανό να φιλοξενήσει ένα script Magecart formjacking.

Ένας άλλος μετριασμός είναι το Malwarebytes Premium. Το Malwarebytes Premium προσφέρει σάρωση σε πραγματικό χρόνο και προστασία στο πρόγραμμα περιήγησης. Η έκδοση Premium προστατεύει ακριβώς αυτό το είδος επίθεσης. Δεν είστε σίγουροι για την αναβάθμιση; Εδώ είναι πέντε εξαιρετικοί λόγοι για να αναβαθμίσετε σε Malwarebytes Premium 5 λόγοι για να αναβαθμίσετε σε Malwarebytes Premium: Ναι, αξίζει τον κόπο 5 λόγοι για να αναβαθμίσετε σε Malwarebytes Premium: Ναι, αξίζει τον κόπο Ενώ η δωρεάν έκδοση του Malwarebytes είναι φοβερό, δέσμη χρήσιμων και αξιόλογων χαρακτηριστικών. Διαβάστε περισσότερα !

Εξερευνήστε περισσότερα σχετικά με: Formjacking, Online Security.