Den stora online-säkerhetsrisken för 2019 ser ut som om det kan vara formjacking.  Så här hackar stjäl din information från webbplatsformulär.

Vad är formjacking och hur kan du undvika det?

Annons 2017 var året för ransomware. 2018 handlade om cryptojacking. 2019 formas ut som formjackingåret. Drastiska minskningar i värdet på kryptokurser som Bitcoin och Monero betyder att cyberbrottslingar letar någon annanstans efter bedrägliga vinster. Vilken bättre plats än att stjäla din bankinformation direkt från produktbeställningsformuläret innan du ens slår på skicka. Det är rätt;

Annons

2017 var året för ransomware. 2018 handlade om cryptojacking. 2019 formas ut som formjackingåret.

Drastiska minskningar i värdet på kryptokurser som Bitcoin och Monero betyder att cyberbrottslingar letar någon annanstans efter bedrägliga vinster. Vilken bättre plats än att stjäla din bankinformation direkt från produktbeställningsformuläret innan du ens slår på skicka. Det är rätt; de bryter inte in i din bank. Angripare lyfter dina data innan det ens når så långt.

Här är vad du behöver veta om formjacking.

Vad är Formjacking?

En formjacking-attack är ett sätt för en cyberkriminell att fånga din bankinformation direkt från en e-handelswebbplats.

Enligt Symantec Internet Security Threat Report 2019 kompromitterade formjackers 4 818 unika webbplatser varje månad under 2018. Under året har Symantec blockerat över 3, 7 miljoner formjacking-försök.

Dessutom kom över 1 miljon av dessa formjackingförsök under de sista två månaderna av 2018 - på väg upp mot Black Friday-helgen i november och vidare under hela julköpperioden i december.

Att se en uptick i MageCart-stilinfektioner och återinfektioner har svindlare inte helgdagar.

- natmchugh (@natmchugh) 21 december 2018

Så, hur fungerar en formjackingattack?

Formjacking innebär att införa skadlig kod på webbplatsen för en e-handelsleverantör. Den skadliga koden stjäl betalningsinformation som kortinformation, namn och annan personlig information som vanligtvis används när du handlar online. De stulna uppgifterna skickas till en server för återanvändning eller försäljning, offret känner inte till att deras betalningsinformation komprometteras.

Sammantaget verkar det grundläggande. Det är långt ifrån det. En hackare använde 22 rader kod för att ändra skript som körs på British Airways webbplats. Angriparen stal 380 000 kreditkortsuppgifter och nettade över 13 miljoner pund under processen.

Där ligger lockelsen. Nyligen högprofilerade attacker mot British Airways, TicketMaster UK, Newegg, Home Depot och Target delar en gemensam nämnare: formjacking.

Vem står bakom formjackingattackerna?

Att fastställa en enda angripare när så många unika webbplatser blir offer för en enda attack (eller åtminstone, attackstil) är alltid svårt för säkerhetsforskare. Liksom med andra nyligen kränkade vågor, finns det ingen enda förövare. Istället kommer majoriteten av formjacking från Magecart-grupper.

Beslutade att gå förbi RSA-bås idag för att fråga varje säljare som använder Magecart i sin marknadsföring vad det var. Svar hittills är tydligen:

- En stor attack på min organisation
- Ett stort företag av kriminella från Ryssland
- En mycket sofistikerad attack som jag behöver produkt X för

1 / n

- Y ??????? K ???? s ?? (@ydklijnsma) 6 mars 2019

Namnet kommer från mjukvaran som hackgrupperna använder för att injicera skadlig kod på sårbara e-handelswebbplatser. Det orsakar viss förvirring, och man ser ofta Magecart användas som en enskild enhet för att beskriva en hacking-grupp. I verkligheten attackerar många Magecart-hackgrupper olika mål med olika tekniker.

Yonathan Klijnsma, en hotforskare på RiskIQ, spårar de olika Magecart-grupperna. I en färsk rapport som publicerades med riskintensivföretaget Flashpoint, beskriver Klijnsma sex olika grupper som använder Magecart, som arbetar under samma moniker för att undvika upptäckt.

Inom Magecart-rapporten [PDF] undersöker vad som gör var och en av de ledande Magecart-grupperna unika:

  • Grupp 1 & 2: attackera ett brett spektrum av mål, använd automatiserade verktyg för att bryta och skumma platser; tjänar pengar på stulna data med hjälp av ett sofistikerat schemaläggningsschema.
  • Grupp 3: Mycket hög volym mål, driver en unik injektor och skimmer.
  • Grupp 4: En av de mest avancerade grupperna, smälter in med offerplatser med hjälp av ett antal dämpande verktyg.
  • Grupp 5: Riktar tredjepartsleverantörer för att bryta mot flera mål, länkar till Ticketmaster-attacken.
  • Grupp 6: Selektiv inriktning på extremt högvärdeswebbplatser och tjänster, inklusive British Airways och Newegg-attackerna.

Som ni ser är grupperna skuggiga och använder olika tekniker. Vidare tävlar Magecart-grupperna för att skapa en effektiv stjälprodukt. Målen är olika, eftersom vissa grupper specifikt syftar till avkastning med högt värde. Men för det mesta simmar de i samma pool. (Dessa sex är inte de enda Magecart-grupperna där ute.)

Avancerad grupp 4

Forskningsrapporten RiskIQ identifierar grupp 4 som ”avancerad.” Vad betyder det i samband med formjacking?

Grupp 4 försöker smälta in den webbplats som den infiltrerar. I stället för att skapa ytterligare oväntad webbtrafik som en nätverksadministratör eller säkerhetsforskare kan upptäcka försöker Grupp 4 generera "naturlig" trafik. Det gör detta genom att registrera domäner "efterlikna annonsleverantörer, analysleverantörer, offerdomäner och allt annat" som hjälper dem att gömma sig i synen.

Dessutom ändrar grupp 4 regelbundet utseende på sin skimmer, hur dess URL: er ser ut, dataexfiltreringsservern och mer. Det finns mer.

Gruppen 4 formjacking skimmer validerar först kassan URL som den fungerar på. Sedan, till skillnad från alla andra grupper, ersätter Group 4-skimmeren betalningsformuläret med en av sina egna och serverar skimmingformuläret direkt till kunden (läs: offer). Byte av formulär "standardiserar uppgifterna att dra ut", vilket gör det lättare att återanvända eller sälja på.

RiskIQ drar slutsatsen att ”dessa avancerade metoder i kombination med sofistikerad infrastruktur indikerar en sannolik historia i ekosystemet för skadlig programvara för banker. . . men de överförde sin MO [Modus Operandi] mot kortskumning eftersom det är mycket lättare än banksvindel. ”

Hur tjänar formjackinggrupper pengar?

Det mesta av tiden säljs de stulna referenser online. Här är hur mycket din identitet kan vara värd på den mörka webben. Här är hur mycket din identitet kan vara värt på den mörka webben. information, från namn och adress till bankkontodetaljer, är värt något för online brottslingar. Hur mycket är du värd? Läs mer . Det finns många internationella och ryskspråkiga kortforum med långa listor över stulna kreditkort och annan bankinformation. De är inte den olagliga, snuskiga webbplatsen du kanske föreställer dig.

Några av de mest populära kortsidorna presenterar sig som en professionell dräkt - perfekt engelsk, perfekt grammatik, kundservice; allt du förväntar dig av en legitim e-handelswebbplats.

magecart formjacking riskiq research

Magecart-grupper säljer också sina formjacking-paket till andra cyberbrottslingar. Analytiker för Flashpoint hittade annonser för anpassade formjacking skimmer-kit på ett ryska hackforum. Satserna sträcker sig från cirka $ 250 till $ 5000 beroende på komplexitet, med leverantörer som visar unika prismodeller.

Till exempel erbjöd en leverantör budgetversioner av professionella verktyg sett de högprofilerade formjackingattackerna.

Formjacking-grupper erbjuder också tillgång till kompromissade webbplatser, med priser som börjar så lågt som $ 0, 50, beroende på webbplatsens ranking, värden och andra faktorer. Samma Flashpoint-analytiker upptäckte cirka 3 000 kränkta webbplatser som var till försäljning på samma hackningsforum.

Dessutom var det "mer än ett dussin säljare och hundratals köpare" som arbetade på samma forum.

Hur kan du stoppa en formjackingattack?

Magecart formjacking skimmers använder JavaScript för att utnyttja kundens betalningsformulär. Att använda en webbläsarbaserad skriptblockerare räcker vanligtvis för att stoppa en formjacking-attack som stjäl dina data.

  • Chrome-användare bör kolla in ScriptSafe
  • Firefox-användare kan använda NoScript
  • Opera-användare kan använda ScriptSafe
  • Safari-användare bör kolla in JSBlocker

När du har lagt till ett av skriptblockeringstillägg till din webbläsare har du betydligt mer skydd mot formjacking-attacker. Det är dock inte perfekt .

RiskIQ-rapporten föreslår att man undviker mindre webbplatser som inte har samma skyddsnivå som en större webbplats. Attacker på British Airways, Newegg och Ticketmaster tyder på att råd inte är helt sunda. Men rabatt inte på det. En e-handelswebbplats för mamma och pop är mer benägna att vara värd för ett Magecart-formjacking-skript.

En annan begränsning är Malwarebytes Premium. Malwarebytes Premium erbjuder skanning i realtid och skydd i webbläsaren. Premium-versionen skyddar mot just den här typen av attack. Osäker på uppgradering? Här är fem utmärkta skäl att uppgradera till Malwarebytes Premium 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt det Medan gratisversionen av Malwarebytes är fantastisk, har premiumversionen en gäng användbara och värdefulla funktioner. Läs mer !

Utforska mer om: Formjacking, Online Security.