Cosa è il formjacking e come puoi evitarlo?

formjacking

Il 2017 è stato l'anno del ransomware. Il 2018 era tutto incentrato sulla crittografia. Il 2019 si sta configurando come l'anno del formjacking.

Decrementi drastici nel valore delle criptovalute come Bitcoin e Monero significano che i criminali informatici cercano altrove profitti fraudolenti. Quale posto migliore di quello di rubare le informazioni bancarie direttamente dal modulo d'ordine del prodotto, prima ancora di premere invio. Giusto; non stanno entrando nella tua banca. Gli aggressori stanno sollevando i tuoi dati prima ancora che arrivi lontano.

Ecco cosa devi sapere sul formjacking.

Cosa è il formjacking?

Un attacco di formjacking è un modo per un criminale informatico di intercettare le informazioni bancarie direttamente da un sito di e-commerce.

Secondo il rapporto Symantec Internet Security Threat 2019 , i formjacker hanno compromesso 4.818 siti web unici ogni mese nel 2018. Nel corso dell'anno, Symantec ha bloccato oltre 3,7 milioni di tentativi di formjacking.

Inoltre, più di 1 milione di questi tentativi di formjacking sono arrivati ​​durante gli ultimi due mesi del 2018, dilagando verso il fine settimana del Black Friday di novembre, e poi durante tutto il periodo natalizio dello shopping di dicembre.

Quindi, come funziona un attacco di formjacking?

Il formjacking comporta l'inserimento di codice dannoso nel sito Web di un fornitore di e-commerce. Il codice dannoso ruba informazioni di pagamento quali dettagli di carte, nomi e altre informazioni personali comunemente utilizzate durante gli acquisti online. I dati rubati vengono inviati a un server per il riutilizzo o la vendita, la vittima ignara che le informazioni di pagamento sono state compromesse.

Tutto sommato, sembra di base. È lontano da ciò. Un hacker ha utilizzato 22 linee di codice per modificare gli script in esecuzione sul sito di British Airways. L'aggressore ha rubato 380.000 dettagli della carta di credito, superando i 13 milioni di sterline nel processo.

Qui sta il fascino. I recenti attacchi di alto profilo su British Airways, TicketMaster UK, Newegg, Home Depot e Target condividono un comune denominatore: formjacking.

Chi c'è dietro gli attacchi di Formjacking?

Individuare un singolo aggressore quando tanti siti Web unici cadono vittima di un singolo attacco (o almeno, uno stile di attacco) è sempre difficile per i ricercatori di sicurezza. Come per le recenti ondate di criminalità informatica, non esiste un singolo autore. Invece, la maggior parte dei formjacking deriva dai gruppi di Magecart.

Il nome deriva dal software utilizzato dai gruppi di hacker per inserire codice dannoso in siti di e-commerce vulnerabili. Provoca una certa confusione e spesso vedi Magecart usato come un'entità singolare per descrivere un gruppo di hacker. In realtà, numerosi gruppi di hacker di Magecart attaccano obiettivi diversi, utilizzando tecniche diverse.

Yonathan Klijnsma, ricercatore di minacce presso RiskIQ, tiene traccia dei vari gruppi di Magecart. In un recente rapporto pubblicato con Flashpoint, società di intelligence sui rischi, Klijnsma descrive sei gruppi distinti utilizzando Magecart, che opera con lo stesso moniker per evitare il rilevamento.

Il rapporto Inside Magecart [PDF] esplora ciò che rende unici i principali gruppi di Magecart:

  • Gruppo 1 e 2: Attacca una vasta gamma di obiettivi, usa strumenti automatici per violare e scremare i siti; monetizza i dati rubati utilizzando uno schema di rispedizione sofisticato.
  • Gruppo 3: volume molto elevato di bersagli, aziona un iniettore e uno schiumatoio unici.
  • Gruppo 4: uno dei gruppi più avanzati, si fonde con i siti delle vittime utilizzando una serie di strumenti di offuscamento.
  • Gruppo 5: indirizza i fornitori di terze parti a violare più target, link all'attacco Ticketmaster.
  • Gruppo 6: Targeting selettivo di siti Web e servizi di altissimo valore, inclusi gli attacchi British Airways e Newegg.

Come puoi vedere, i gruppi sono oscuri e usano tecniche diverse. Inoltre, i gruppi di Magecart competono per creare un efficace prodotto per rubare le credenziali. Gli obiettivi sono diversi, poiché alcuni gruppi mirano specificamente a rendimenti di alto valore. Ma per la maggior parte, stanno nuotando nella stessa piscina. (Questi sei non sono gli unici gruppi di Magecart là fuori).

Gruppo avanzato 4

Il documento di ricerca RiskIQ identifica il gruppo 4 come "avanzato". Che cosa significa nel contesto del formjacking?

Il gruppo 4 tenta di integrarsi con il sito Web che si sta infiltrando. Invece di creare traffico web inaspettato aggiuntivo che un amministratore di rete o un ricercatore della sicurezza potrebbe individuare, il Gruppo 4 cerca di generare traffico "naturale". Lo fa registrando domini "che imitano i fornitori di annunci, i fornitori di analisi, i domini delle vittime e qualsiasi altra cosa" che li aiuti a nascondersi in bella vista.

Inoltre, il Gruppo 4 altera regolarmente l'aspetto del suo skimmer, come appaiono i suoi URL, i server di estrazione dati e altro. C'è più.

Lo skimmer di crimpatura di gruppo 4 prima convalida l'URL di checkout su cui funziona. Quindi, a differenza di tutti gli altri gruppi, lo skimmer del Gruppo 4 sostituisce il modulo di pagamento con uno di loro, servendo il modulo di selezione direttamente al cliente (leggi: vittima). Sostituire il modulo "standardizza i dati da estrarre", rendendo più facile il riutilizzo o la vendita.

RiskIQ conclude che "questi metodi avanzati combinati con un'infrastruttura sofisticata indicano una probabile storia nell'ecosistema del malware bancario. . . ma hanno trasferito il loro MO [Modus Operandi] verso lo skimming delle carte perché è molto più facile delle frodi bancarie. "

In che modo i gruppi di formjacking fanno soldi?

La maggior parte delle volte le credenziali rubate sono vendute online . Ci sono numerosi forum di carte di lingua russa e internazionale con lunghi elenchi di carte di credito rubate e altre informazioni bancarie. Non sono il tipo di sito illecito e squallido che potresti immaginare.

Alcuni dei più popolari siti di cardatura si presentano co
me un outfit professionale: perfetto inglese, grammatica perfetta, servizio clienti; tutto ciò che ti aspetti da un sito di e-commerce legittimo.

Magecart per la ricerca di riskiq

I gruppi di Magecart stanno anche rivendendo i loro pacchetti di formjacking ad altri potenziali cybercriminali. Gli analisti di Flashpoint hanno trovato pubblicità di kit skimmer personalizzati per il formjacking in un forum di hacking russo. I kit vanno da circa € 250 a € 5000 a seconda della complessità, con i fornitori che mostrano modelli di prezzi unici.

Ad esempio, un fornitore stava offrendo versioni a budget di strumenti professionali visti gli attacchi di tipo formjacking di alto profilo.

I gruppi di formjacking offrono anche accesso a siti Web compromessi, con prezzi che partono da € 0,50, a seconda della classifica del sito Web, dell'hosting e di altri fattori. Gli stessi analisti di Flashpoint hanno scoperto circa 3.000 siti Web violati in vendita sullo stesso forum di hacking.

Inoltre, c'erano "più di una dozzina di venditori e centinaia di acquirenti" che operavano nello stesso forum.

Come puoi fermare un attacco di tipo falso?

Gli scrematori di forma magecart usano JavaScript per sfruttare i moduli di pagamento dei clienti. L'uso di uno script blocker basato su browser è di solito sufficiente per fermare un attacco di tipo "formjacking" che ruba i tuoi dati.

  • Gli utenti di Chrome dovrebbero dare un'occhiata a ScriptSafe
  • Gli utenti di Firefox possono utilizzare NoScript
  • Gli utenti di Opera possono utilizzare ScriptSafe
  • Gli utenti di Safari dovrebbero controllare JSBlocker

Una volta aggiunta una delle estensioni di blocco degli script al tuo browser, avrai una protezione significativamente maggiore contro gli attacchi di formjacking. Non è perfetto però .

Il rapporto RiskIQ suggerisce di evitare i siti più piccoli che non hanno lo stesso livello di protezione di un sito principale. Gli attacchi a British Airways, Newegg e Ticketmaster suggeriscono che i consigli non sono del tutto validi. Non lo sconto però. Un sito di e-commerce di mamma e pop ha più probabilità di ospitare uno script di formjacking di Magecart.

Un'altra soluzione è Malwarebytes Premium. Malwarebytes Premium offre la scansione del sistema in tempo reale e la protezione del browser. La versione Premium protegge proprio da questo tipo di attacco. Non sei sicuro dell'aggiornamento? Ecco cinque ottimi motivi per passare a Malwarebytes Premium !

Leggi l'articolo completo: Che cosa è Formjacking e come puoi evitarlo?

Fonte: Utilizzare