Annons

2017 var året för ransomware. 2018 handlade om cryptojacking. 2019 formas ut som formjackingåret.

Drastiska minskningar i värdet av kryptokurser som Bitcoin och Monero betyder att cyberbrottslingar letar någon annanstans efter bedrägliga vinster. Vilken bättre plats än att stjäla din bankinformation direkt från produktbeställningsformuläret innan du ens slår på skicka. Det är rätt; de bryter inte in i din bank. Angripare lyfter dina data innan det ens når så långt.

Här är vad du behöver veta om formjacking.

Vad är Formjacking?

En formjacking-attack är ett sätt för en cyberkriminell att fånga din bankinformation direkt från en e-handelswebbplats.

Enligt Symantec Internet Security Threat Report 2019, formjackers kompromitterade 4 818 unika webbplatser varje månad under 2018. Under året har Symantec blockerat över 3,7 miljoner formjackingförsök.

Dessutom kom över 1 miljon av dessa formjacking-försök under de sista två månaderna av 2018 - ramping upp mot Black Friday-helgen i november och framåt under hela julköpperioden.

instagram viewer

Att se en uptick i MageCart-infektioner och återinfektioner har svindlare inte helgdagar.

- natmchugh (@natmchugh) 21 december 2018

Så, hur fungerar en formjackingattack?

Formjacking innebär att införa skadlig kod på webbplatsen för en e-handelsleverantör. Den skadliga koden stjäl betalningsinformation som kortinformation, namn och annan personlig information som vanligtvis används när du handlar online. De stulna uppgifterna skickas till en server för återanvändning eller försäljning, offret känner inte till att deras betalningsinformation komprometteras.

Sammantaget verkar det grundläggande. Det är långt ifrån det. En hackare använde 22 rader kod för att ändra skript som körs på British Airways webbplats. Angriparen stal 380 000 kreditkortsuppgifter och nettade över 13 miljoner pund under processen.

Där ligger lockelsen. De senaste attacker av hög profil på British Airways, TicketMaster UK, Newegg, Home Depot och Target delar en gemensam nämnare: formjacking.

Vem står bakom formjackingattackerna?

Det är alltid svårt för säkerhetsforskare att hitta en enda angripare när så många unika webbplatser blir offer för en enda attack (eller åtminstone en attackstil). Liksom med andra nybörjade cyberbrottsvågor finns det ingen enda gärningsmann. Istället kommer majoriteten av formjacking från Magecart-grupper.

Beslutade att gå vid RSA-bås idag för att fråga varje säljare som använder Magecart i sin marknadsföring vad det var. Svar hittills är tydligen:

- En stor attack på min organisation
- Ett stort företag av kriminella från Ryssland
- En mycket sofistikerad attack som jag behöver produkt X för

1 / n

- Y??? K??? s?? (@Ydklijnsma) 6 mars 2019

Namnet kommer från mjukvaran som hackgrupperna använder för att injicera skadlig kod på sårbara e-handelswebbplatser. Det orsakar viss förvirring, och man ser ofta Magecart användas som en enskild enhet för att beskriva en hacking-grupp. I verkligheten attackerar många Magecart-hackgrupper olika mål med olika tekniker.

Yonathan Klijnsma, en hotforskare på RiskIQ, spårar de olika Magecart-grupperna. I en färsk rapport som publicerades med riskintensivföretaget Flashpoint, beskriver Klijnsma sex olika grupper som använder Magecart, som arbetar under samma moniker för att undvika upptäckt.

De Inuti Magecart-rapporten [PDF] utforskar vad som gör var och en av de ledande Magecart-grupperna unika:

  • Grupp 1 & 2: Attackera ett brett spektrum av mål, använd automatiserade verktyg för att bryta och skumma platser; tjänar pengar på stulna uppgifter med hjälp av ett sofistikerat schemaläggningsschema.
  • Grupp 3: Mycket hög volym mål, driver en unik injektor och skimmer.
  • Grupp 4: En av de mest avancerade grupperna, smälter in med offerplatser med hjälp av ett antal obfuskningsverktyg.
  • Grupp 5: Riktar tredjepartsleverantörer att bryta mot flera mål, länkar till Ticketmaster-attacken.
  • Grupp 6: Selektiv inriktning på extremt högt värdefulla webbplatser och tjänster, inklusive British Airways och Newegg-attackerna.

Som ni ser är grupperna skuggiga och använder olika tekniker. Dessutom tävlar Magecart-grupperna för att skapa en effektiv referensstjälprodukt. Målen är olika, eftersom vissa grupper specifikt syftar till avkastning med högt värde. Men för det mesta simmar de i samma pool. (Dessa sex är inte de enda Magecart-grupperna där ute.)

Avancerad grupp 4

Forskningsdokumentet RiskIQ identifierar grupp 4 som ”avancerad.” Vad betyder det i samband med formjacking?

Grupp 4 försöker smälta in den webbplats som den infiltrerar. I stället för att skapa ytterligare oväntad webbtrafik som en nätverksadministratör eller säkerhetsforskare kan upptäcka försöker Grupp 4 generera "naturlig" trafik. Det gör detta genom att registrera domäner "efterlikna annonsleverantörer, analysleverantörer, offerdomäner och allt annat" som hjälper dem att gömma sig i synen.

Dessutom ändrar grupp 4 regelbundet utseende på sin skimmer, hur dess URL: er ser ut, dataexfiltreringsservern och mer. Det finns mer.

Gruppen 4 formjacking skimmer validerar först kassan URL som den fungerar på. Sedan, till skillnad från alla andra grupper, ersätter skimmeren Group 4 betalningsformuläret med en egen, och serverar skimmingformuläret direkt till kunden (läs: offer). Byte av formulär "standardiserar uppgifterna att dra ut", vilket gör det lättare att återanvända eller sälja på.

RiskIQ drar slutsatsen att ”dessa avancerade metoder i kombination med sofistikerad infrastruktur indikerar en sannolik historia i ekosystemet för skadlig programvara för banker... men de överförde sin MO [Modus Operandi] mot kortskumning eftersom det är mycket lättare än banksvindel. ”

Hur tjänar formjackinggrupper pengar?

Det mesta av tiden, stulna referenser säljs online Här är hur mycket din identitet kan vara värd på den mörka webbenDet är obekvämt att tänka på dig själv som en vara, men alla dina personliga uppgifter, från namn och adress till bankkontouppgifter, är värda något för online brottslingar. Hur mycket är du värd? Läs mer . Det finns många internationella och ryskspråkiga kortforum med långa listor över stulna kreditkort och annan bankinformation. De är inte den olagliga, snuskiga webbplatsen du kanske föreställer dig.

Några av de mest populära kortsidorna presenterar sig som en professionell dräkt - perfekt engelsk, perfekt grammatik, kundservice; allt du förväntar dig av en legitim e-handelswebbplats.

magecart formjacking riskiq research

Magecart-grupper säljer också sina formjacking-paket till andra cyberbrottslingar. Analytiker för Flashpoint hittade annonser för anpassade formjacking skimmer-kit på ett ryska hackforum. Satserna sträcker sig från cirka $ 250 till $ 5000 beroende på komplexitet, med leverantörer som visar unika prismodeller.

Till exempel erbjöd en leverantör budgetversioner av professionella verktyg sett de högprofilerade formjackingattackerna.

Formjacking-grupper erbjuder också åtkomst till kompromissade webbplatser, med priser som börjar så lågt som $ 0,50, beroende på webbplatsens rangordning, värden och andra faktorer. Samma Flashpoint-analytiker upptäckte cirka 3 000 kränkta webbplatser som var till försäljning på samma hackningsforum.

Dessutom var det "mer än ett dussin säljare och hundratals köpare" som arbetade på samma forum.

Hur kan du stoppa en formjackingattack?

Magecart formjacking skimmers använder JavaScript för att utnyttja kundens betalningsformulär. Att använda en webbläsarbaserad skriptblockerare räcker vanligtvis för att stoppa en formjacking-attack som stjäl dina data.

  • Chrome-användare bör kolla in ScriptSafe
  • Firefox-användare kan använda NoScript
  • Opera-användare kan använda ScriptSafe
  • Safari-användare bör kolla in JSBlocker

När du har lagt till ett av skriptblockeringstillägg till din webbläsare har du betydligt mer skydd mot formjacking-attacker. Det är dock inte perfekt.

RiskIQ-rapporten föreslår att man undviker mindre webbplatser som inte har samma skyddsnivå som en större webbplats. Attacker på British Airways, Newegg och Ticketmaster tyder på att råd inte är helt sunda. Men rabatt inte på det. En mamma- och pop-e-handelswebbplats är mer troligt värd för ett Magecart-formjacking-skript.

En annan begränsning är Malwarebytes Premium. Malwarebytes Premium erbjuder realtidsscanning och skydd i webbläsaren. Premium-versionen skyddar mot just den här typen av attack. Osäker på uppgradering? Här är fem utmärkta skäl att uppgradera till Malwarebytes Premium 5 skäl att uppgradera till Malwarebytes Premium: Ja, det är värt detMedan gratisversionen av Malwarebytes är fantastisk, har premiumversionen ett gäng användbara och värdefulla funktioner. Läs mer !

Gavin är Senior Writer för MUO. Han är också redaktör och SEO-chef för MakeUseOfs kryptofokuserade systerwebbplats, Blocks Decoded. Han har en BA (Hons) samtidsskrift med digital konstpraxis pillerad från kullarna i Devon, och över ett decennium av professionell skrivupplevelse. Han tycker om stora mängder te.