reklama

Rok 2017 byl rokem ransomware. Rok 2018 se týkal kryptomobilů. Rok 2019 se formuje jako rok formování.

Drastické snížení hodnoty kryptoměn, jako jsou bitcoiny a monero, znamená, že kybernetičtí zločinci hledají podvodné zisky jinde. Jaké lepší místo než ukrást vaše bankovní informace přímo z objednávkového formuláře produktu, ještě než zasáhnete odeslat. To je správně; nepronikají do vaší banky. Útočníci zvedají vaše data dříve, než se dostanou tak daleko.

Zde je to, co potřebujete vědět o formjackingu.

Co je formjacking?

Formální útok je způsob, jak počítačový zločin zachytí vaše bankovní informace přímo z webu elektronického obchodování.

Podle Zpráva Symantec Internet Security Threat Report 2019, formjackers v roce 2018 každý měsíc kompromitovaly 4 818 jedinečných webů. V průběhu roku Symantec zablokoval přes 3,7 milionu pokusů o formální útok.

Během posledních dvou měsíců roku 2018 navíc přišlo více než 1 milion těchto pokusů o formování směrem na listopadový černý páteční víkend a dále v prosincovém vánočním nákupním období.

instagram viewer

Když dojde k nárůstu infekcí a reinfekcí ve stylu MageCart, podvodníci nemají svátky.

- natmchugh (@natmchugh) 21. prosince 2018

Jak tedy funguje útok na formjacking?

Formjacking zahrnuje vložení škodlivého kódu na web poskytovatele elektronického obchodu. Škodlivý kód ukradne informace o platbě, jako jsou údaje o kartě, jména a další osobní informace, které se běžně používají při online nakupování. Ukradená data jsou zaslána na server k opětovnému použití nebo k prodeji, oběť nevědí, že jejich platební informace jsou ohroženy.

Celkově se to zdá základní. Je to daleko od toho. Jeden hacker použil 22 řádků kódu k úpravě skriptů běžících na webu British Airways. Útočník ukradl 380 000 údajů o kreditních kartách a během procesu započítal přes 13 milionů GBP.

V tom leží lákadlo. Nedávné vysoce postavené útoky na British Airways, TicketMaster UK, Newegg, Home Depot a Target sdílejí společného jmenovatele: formjacking.

Kdo stojí za formálními útoky?

Určení jediného útočníka, když se tolik jedinečných webů stane obětí jednoho útoku (nebo alespoň stylu útoku), je pro výzkumníky v oblasti bezpečnosti vždy obtížné. Stejně jako u jiných nedávných vln kybernetické kriminality neexistuje žádný pachatel. Místo toho většina formjackingu pochází ze skupin Magecartů.

Rozhodli jsme se dnes jít na stánky RSA a zeptat se každého dodavatele používajícího Magecart ve svém marketingu, co to bylo. Odpovědi na dnešní den zřejmě jsou:

- Velký útok na moji organizaci
- Velký podnik zločinců z Ruska
- Vysoce sofistikovaný útok, pro který potřebuji produkt X

1 / n

- Y??? K??? s?? (@ydklijnsma) 6. března 2019

Název pochází ze softwaru, který hackerské skupiny používají k vložení škodlivého kódu na zranitelné weby elektronického obchodování. Způsobuje to zmatek a často vidíte Magecarta, který se používá jako jedinečná entita k popisu hackerské skupiny. Ve skutečnosti mnoho hackerských skupin Magecart útočí na různé cíle pomocí různých technik.

Yonathan Klijnsma, výzkumník hrozeb v RiskIQ, sleduje různé skupiny Magecartů. V nedávné zprávě zveřejněné firmou Flashpoint pro informace o rizicích podrobně popisuje Klijnsma šest odlišných skupin pomocí Magecart, které operují pod stejným jménem, ​​aby se zabránilo detekci.

Uvnitř Magecartovy zprávy [PDF] zkoumá, co dělá každou z předních skupin Magecart jedinečnou:

  • Skupina 1 a 2: Zaútočte na širokou škálu cílů, používejte automatické nástroje k porušování a procházení webů; zpeněžuje ukradená data pomocí sofistikovaného schématu překládky.
  • Skupina 3: Velmi vysoký objem terčů, provozuje jedinečný vstřikovač a skimmer.
  • Skupina 4: Jedna z nejpokročilejších skupin, která se prolíná s oběťmi pomocí řady nástrojů pro zmatek.
  • Skupina 5: Zaměřuje dodavatele třetích stran na porušení více cílů, odkazy na útok Ticketmaster.
  • Skupina 6: Selektivní cílení na vysoce hodnotné webové stránky a služby, včetně útoků British Airways a Newegg.

Jak vidíte, skupiny jsou temné a používají různé techniky. Skupiny Magecart dále soutěží o vytvoření účinného produktu krádeže pověřovacích údajů. Cíle jsou odlišné, protože některé skupiny se konkrétně zaměřují na návratnost vysoké hodnoty. Ale z větší části se plavou ve stejném bazénu. (Těchto šest není jedinými Magecartovými skupinami.)

Pokročilá skupina 4

Výzkumná studie RiskIQ identifikuje skupinu 4 jako „pokročilé“. Co to znamená v souvislosti s formjackingem?

Skupina 4 se pokouší prolnout s webem, který proniká. Místo toho, aby vytvořil další neočekávaný webový provoz, který by mohl správce sítě nebo výzkumný pracovník zabezpečení zjistit, se skupina 4 pokusí generovat „přirozený“ provoz. Dělá to tak, že zaregistruje domény „napodobující poskytovatele reklam, poskytovatele analytiků, domény obětí a cokoli jiného“, což jim pomáhá skrývat se před očima.

Skupina 4 navíc pravidelně mění vzhled skimmeru, vzhled jeho adres URL, servery pro odfiltrování dat a další. Je toho víc.

Skupinový skimmer skupiny 4 nejprve ověřuje adresu URL pokladny, na které funguje. Potom, na rozdíl od všech ostatních skupin, skimmer skupiny 4 nahradí platební formulář jedním z jejich vlastních a doručí skimmingový formulář přímo zákazníkovi (přečtěte si: oběť). Nahrazení formuláře „standardizuje data, která se mají vytáhnout,“ usnadňuje opětovné použití nebo prodej.

RiskIQ dochází k závěru, že „tyto pokročilé metody kombinované se sofistikovanou infrastrukturou naznačují pravděpodobnou historii ekosystému bankovního malwaru... ale přenesli své MO [Modus Operandi] na skimming karet, protože je to mnohem jednodušší než bankovní podvody. “

Jak vydělávají formjackingové skupiny peníze?

Většinu času odcizená pověření se prodávají online Tady je, jak moc by se vaše identita mohla stát na temném webuJe nepříjemné myslet na sebe jako na komoditu, ale všechny vaše osobní údaje, od jména a adresy až po údaje o bankovním účtu, stojí za to pro zločince online. Kolik stojí za to? Přečtěte si více . Existuje mnoho mezinárodních a ruských jazykových fór s dlouhými seznamy odcizených kreditních karet a dalších bankovních informací. Nejedná se o nedovolený, ošuntělý typ webu, který byste si mohli představit.

Některé z nejpopulárnějších karetních stránek se prezentují jako profesionální oblečení - perfektní angličtina, perfektní gramatika, zákaznické služby; vše, co od legitimního elektronického obchodu očekáváte.

magecart formjacking riskiq výzkum

Skupiny Magecart také prodávají své formovací balíčky dalším možným kybernetickým zločincům. Analytici pro Flashpoint našli reklamy na přizpůsobené formjacking skimmerové sady na ruském hackerském fóru. Sady se pohybují v rozmezí od 250 do 5 000 $ v závislosti na složitosti, přičemž prodejci zobrazují jedinečné cenové modely.

Například jeden prodejce nabízel rozpočtové verze profesionálních nástrojů, které viděly vysoce profilované útoky formjackingu.

Skupiny formjackingu také nabízejí přístup ke kompromitovaným webům, přičemž ceny začínají již od 0,50 $, v závislosti na pořadí webových stránek, hostingu a dalších faktorech. Stejní analytici Flashpoint objevili kolem 3 000 porušených webových stránek v prodeji na stejném hackerském fóru.

Na stejném fóru dále působilo „více než tucet prodejců a stovky kupujících“.

Jak můžete zastavit formjacking útok?

Magecart formjacking skimmers používají JavaScript k využití formulářů plateb zákazníkům. Pomocí blokování skriptů založených na prohlížeči obvykle stačí zastavit útok formjackingu, který ukradne vaše data.

  • Uživatelé prohlížeče Chrome by se měli odhlásit ScriptSafe
  • Uživatelé Firefoxu mohou používat NoScript
  • Uživatelé opery mohou používat ScriptSafe
  • Uživatelé Safari by se měli podívat JSBlocker

Jakmile do prohlížeče přidáte jedno z rozšíření pro blokování skriptů, budete mít výrazně větší ochranu před útoky formjackingu. Není to ale dokonalé.

Zpráva RiskIQ navrhuje vyhnout se menším webům, které nemají stejnou úroveň ochrany jako hlavní web. Útoky na British Airways, Newegg a Ticketmaster naznačují, že rady nejsou úplně zdravé. Nezdá se to však. Web e-commerce pro maminky a pop je pravděpodobnější, že bude hostit skript Magecart na formjacking.

Dalším zmírněním je Malwarebytes Premium. Malwarebytes Premium nabízí skenování systému v reálném čase a ochranu v prohlížeči. Verze Premium chrání právě před tímto druhem útoku. Nejste si jisti upgradováním? Tady jsou pět vynikajících důvodů pro upgrade na Malwarebytes Premium 5 důvodů pro upgrade na Malwarebytes Premium: Ano, stojí to za toZatímco bezplatná verze Malwarebytes je úžasná, prémiová verze má spoustu užitečných a užitečných funkcí. Přečtěte si více !

Gavin je Senior Writer pro MUO. On je také editor a SEO manažer pro MakeUseOf krypto-zaměřený sesterský web, Blocks Decoded. Má BA (Hons) Contemporary Writing s Digital Art Practices drancované z kopců Devonu, stejně jako více než deset let profesionálního psaní. Užívá si hojného množství čaje.