Che cos'è il Formjacking e come puoi evitarlo?
Annuncio pubblicitario
Il 2017 è stato l'anno del ransomware. Il 2018 è stato tutto incentrato sul cryptojacking. Il 2019 si preannuncia come l'anno del formjacking.
Le drastiche diminuzioni del valore delle criptovalute come Bitcoin e Monero significano che i criminali informatici stanno cercando altrove profitti fraudolenti. Quale posto migliore se non quello di rubare le tue informazioni bancarie direttamente dal modulo d'ordine del prodotto, prima ancora di premere invio. Giusto; non stanno irrompendo nella tua banca. Gli aggressori stanno sollevando i tuoi dati prima ancora che arrivino così lontano.
Ecco cosa devi sapere sul formjacking.
Che cos'è il Formjacking?
Un attacco formjacking è un modo per un criminale informatico di intercettare le informazioni bancarie direttamente da un sito di e-commerce.
Secondo il Symantec Internet Security Threat Report 2019, i formjacker hanno compromesso 4.818 siti Web unici ogni mese nel 2018. Nel corso dell'anno, Symantec ha bloccato oltre 3, 7 milioni di tentativi di formjacking.
Inoltre, oltre 1 milione di questi tentativi di formjacking è arrivato durante gli ultimi due mesi del 2018, accelerando verso il fine settimana del Black Friday di novembre e proseguendo per tutto il periodo dello shopping natalizio di dicembre.
Vedendo un aumento delle infezioni e delle reinfezioni in stile MageCart i truffatori non hanno vacanze.
- natmchugh (@natmchugh) 21 dicembre 2018
Quindi, come funziona un attacco formjacking?
Il formjacking prevede l'inserimento di codice dannoso nel sito Web di un fornitore di e-commerce. Il codice dannoso ruba informazioni di pagamento come dettagli della carta, nomi e altre informazioni personali comunemente utilizzate durante gli acquisti online. I dati rubati vengono inviati a un server per il riutilizzo o la vendita, la vittima ignara che le loro informazioni di pagamento sono compromesse.
Tutto sommato, sembra di base. È tutt'altro. Un hacker ha utilizzato 22 righe di codice per modificare gli script in esecuzione sul sito di British Airways. L'attaccante ha rubato 380.000 dettagli della carta di credito, accumulando oltre 13 milioni di sterline.
Qui sta il fascino. Recenti attacchi di alto profilo su British Airways, TicketMaster UK, Newegg, Home Depot e Target condividono un comune denominatore: formjacking.
Chi c'è dietro gli attacchi del Formjacking?
Individuare un singolo aggressore quando così tanti siti Web unici cadono vittime di un singolo attacco (o almeno, stile di attacco) è sempre difficile per i ricercatori della sicurezza. Come con altre recenti ondate di criminalità informatica, non esiste un singolo autore. Invece, la maggior parte del formjacking proviene da gruppi Magecart.
Oggi ha deciso di rivolgersi agli stand RSA per chiedere a tutti i fornitori che utilizzano Magecart nel loro marketing di cosa si trattava. Le risposte ad oggi apparentemente sono:
- Un grave attacco alla mia organizzazione
- Una grande impresa di criminali dalla Russia
- Un attacco altamente sofisticato per il quale ho bisogno del prodotto X1 / n
- Sì ??????? K ???? s ?? (@ydklijnsma) 6 marzo 2019
Il nome deriva dal software utilizzato dai gruppi di hacking per iniettare codice dannoso in siti di e-commerce vulnerabili. Provoca un po 'di confusione e spesso vedi Magecart usato come un'entità singolare per descrivere un gruppo di hacker. In realtà, numerosi gruppi di hacking Magecart attaccano obiettivi diversi, usando tecniche diverse.
Yonathan Klijnsma, ricercatore di minacce presso RiskIQ, segue i vari gruppi Magecart. In un recente rapporto pubblicato con la società di analisi dei rischi Flashpoint, Klijnsma descrive in dettaglio sei gruppi distinti utilizzando Magecart, operando sotto lo stesso moniker per evitare il rilevamento.
Il rapporto Inside Magecart [PDF] esplora ciò che rende unico ciascuno dei principali gruppi Magecart:
- Gruppo 1 e 2: attaccare una vasta gamma di obiettivi, utilizzare strumenti automatici per violare e sfogliare i siti; monetizza i dati rubati utilizzando un sofisticato schema di rispedizione.
- Gruppo 3: volume di obiettivi molto elevato, aziona un iniettore e uno skimmer unici.
- Gruppo 4: uno dei gruppi più avanzati, si fonde con i siti delle vittime utilizzando una vasta gamma di strumenti di offuscamento.
- Gruppo 5: prende di mira fornitori di terze parti per violare obiettivi multipli, collegamenti all'attacco di Ticketmaster.
- Gruppo 6: Targeting selettivo di siti Web e servizi di valore estremamente elevato, inclusi gli attacchi British Airways e Newegg.
Come puoi vedere, i gruppi sono oscuri e usano tecniche diverse. Inoltre, i gruppi Magecart sono in competizione per creare un efficace prodotto per rubare le credenziali. Gli obiettivi sono diversi, poiché alcuni gruppi mirano specificamente a rendimenti di alto valore. Ma per la maggior parte, stanno nuotando nella stessa piscina. (Questi sei non sono gli unici gruppi Magecart là fuori.)
Gruppo avanzato 4
Il documento di ricerca RiskIQ identifica il Gruppo 4 come "avanzato". Cosa significa questo nel contesto del formjacking?
Il gruppo 4 tenta di fondersi con il sito Web su cui si sta infiltrando. Invece di creare ulteriore traffico web imprevisto che un amministratore di rete o un ricercatore di sicurezza potrebbe individuare, il Gruppo 4 tenta di generare traffico "naturale". Lo fa registrando i domini "imitando i fornitori di annunci, i fornitori di analisi, i domini delle vittime e qualsiasi altra cosa" che li aiuti a nascondersi in bella vista.
Inoltre, il Gruppo 4 modifica regolarmente l'aspetto del suo skimmer, il modo in cui vengono visualizzati i suoi URL, i server di esfiltrazione dei dati e altro ancora. C'è più.
Lo skimmer di formjacking del Gruppo 4 prima convalida l'URL di checkout su cui funziona. Quindi, a differenza di tutti gli altri gruppi, lo skimmer del Gruppo 4 sostituisce il modulo di pagamento con uno proprio, servendo il modulo di skimmer direttamente al cliente (leggi: vittima). La sostituzione del modulo "standardizza i dati da estrarre", facilitando il riutilizzo o la vendita.
RiskIQ conclude che "questi metodi avanzati combinati con una sofisticata infrastruttura indicano una probabile storia nell'ecosistema di malware bancario. . . ma hanno trasferito il loro MO [Modus Operandi] alla scrematura delle carte perché è molto più facile della frode bancaria ".
Come fanno i gruppi di formjacking a fare soldi?
Il più delle volte, le credenziali rubate sono vendute online Ecco quanto potrebbe valere la tua identità sul Dark Web Ecco quanto potrebbe valere la tua identità sul Dark Web È scomodo pensare a te stesso come un prodotto, ma tutto il tuo personale i dettagli, dal nome e indirizzo ai dettagli del conto bancario, valgono qualcosa per i criminali online. quanto vali? Leggi di più . Esistono numerosi forum internazionali di cardatura in lingua russa con elenchi lunghi di carte di credito rubate e altre informazioni bancarie. Non sono il tipo illecito e squallido di sito che potresti immaginare.
Alcuni dei più famosi siti di carding si presentano come un abito professionale: inglese perfetto, grammatica perfetta, servizio clienti; tutto ciò che ti aspetti da un sito di e-commerce legittimo.
I gruppi Magecart stanno anche rivendendo i loro pacchetti di formjacking ad altri potenziali criminali informatici. Gli analisti di Flashpoint hanno trovato annunci pubblicitari per kit skimmer di formjacking personalizzati su un forum di hacking russo. I kit vanno da circa $ 250 a $ 5.000 a seconda della complessità, con i fornitori che mostrano modelli di prezzo unici.
Ad esempio, un fornitore offriva versioni economiche di strumenti professionali visti gli attacchi di formjacking di alto profilo.
I gruppi di formjacking offrono anche l'accesso a siti Web compromessi, con prezzi a partire da $ 0, 50, a seconda della classifica del sito Web, dell'hosting e di altri fattori. Gli stessi analisti di Flashpoint hanno scoperto circa 3000 siti Web violati in vendita nello stesso forum di hacking.
Inoltre, nello stesso forum c'erano "più di una dozzina di venditori e centinaia di acquirenti".
Come puoi fermare un attacco di Formjacking?
Gli skimmer di formjacking Magecart utilizzano JavaScript per sfruttare i moduli di pagamento dei clienti. L'uso di un blocco di script basato su browser è in genere sufficiente per impedire che un attacco di formjacking rubi i tuoi dati.
- Gli utenti di Chrome dovrebbero consultare ScriptSafe
- Gli utenti di Firefox possono utilizzare NoScript
- Gli utenti di Opera possono utilizzare ScriptSafe
- Gli utenti di Safari dovrebbero controllare JSBlocker
Una volta aggiunta una delle estensioni per il blocco degli script nel tuo browser, avrai una protezione significativamente maggiore contro gli attacchi del formjacking. Non è perfetto però .
Il rapporto RiskIQ suggerisce di evitare siti più piccoli che non hanno lo stesso livello di protezione di un sito principale. Gli attacchi su British Airways, Newegg e Ticketmaster suggeriscono che i consigli non sono del tutto validi. Non scartarlo però. Un sito di e-commerce per mamme e pop ha maggiori probabilità di ospitare uno script di formjacking Magecart.
Un'altra mitigazione è Malwarebytes Premium. Malwarebytes Premium offre scansione del sistema in tempo reale e protezione nel browser. La versione Premium protegge esattamente da questo tipo di attacco. Non sei sicuro dell'aggiornamento? Ecco cinque ottimi motivi per passare a Malwarebytes Premium 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena 5 motivi per passare a Malwarebytes Premium: Sì, ne vale la pena Mentre la versione gratuita di Malwarebytes è fantastica, la versione premium ha un mucchio di funzioni utili e utili. Leggi di più !
Ulteriori informazioni su: Formjacking, Sicurezza online.