Het grote online beveiligingsrisico van 2019 lijkt formjacking te kunnen zijn. Hier leest u hoe hackers uw gegevens van websiteformulieren stelen.

Wat is Formjacking en hoe kunt u dit vermijden?

Advertentie 2017 was het jaar van ransomware. 2018 stond in het teken van cryptojacking. 2019 wordt het jaar van formjacking. Door drastische dalingen van de waarde van cryptocurrencies zoals Bitcoin en Monero zoeken cybercriminelen elders naar frauduleuze winsten. Wat is een betere plaats dan uw bankgegevens rechtstreeks van het productbestellingsformulier te stelen voordat u op Verzenden klikt

Advertentie

2017 was het jaar van ransomware. 2018 stond in het teken van cryptojacking. 2019 wordt het jaar van formjacking.

Door drastische dalingen van de waarde van cryptocurrencies zoals Bitcoin en Monero zoeken cybercriminelen elders naar frauduleuze winsten. Wat is een betere plaats dan uw bankgegevens rechtstreeks van het productbestellingsformulier te stelen voordat u op Verzenden klikt. Dat klopt; ze breken je bank niet in. Aanvallers heffen uw gegevens op voordat het zover is.

Dit is wat u moet weten over formjacking.

Wat is Formjacking?

Een formjacking-aanval is een manier voor een cybercrimineel om uw bankgegevens rechtstreeks van een e-commercesite te onderscheppen.

Volgens het Symantec Internet Security Threat Report 2019 hebben formjackers in 2018 4.818 unieke websites gecompromitteerd. In de loop van het jaar blokkeerde Symantec meer dan 3, 7 miljoen formjacking-pogingen.

Bovendien kwamen meer dan 1 miljoen van die formjacking-pogingen tijdens de laatste twee maanden van 2018 - oplopend naar het Black Friday-weekend van november en verder tijdens de kerstinkoopperiode van december.

Een opleving in MageCart-stijl infecties en herinfecties hebben oplichters geen vakantie.

- natmchugh (@natmchugh) 21 december 2018

Dus, hoe werkt een formjacking-aanval?

Formjacking omvat het invoegen van kwaadaardige code in de website van een e-commerce provider. De kwaadaardige code steelt betalingsinformatie zoals kaartgegevens, namen en andere persoonlijke informatie die vaak wordt gebruikt tijdens het online winkelen. De gestolen gegevens worden naar een server verzonden voor hergebruik of verkoop, waarbij het slachtoffer niet weet dat zijn betalingsinformatie is aangetast.

Al met al lijkt het eenvoudig. Het is er verre van. Eén hacker gebruikte 22 regels code om scripts te wijzigen die op de British Airways-site werden uitgevoerd. De aanvaller heeft 380.000 creditcardgegevens gestolen en heeft daarbij £ 13 miljoen verdiend.

Daarin ligt de allure. Recente spraakmakende aanvallen op British Airways, TicketMaster UK, Newegg, Home Depot en Target hebben een gemeenschappelijke noemer: formjacking.

Wie zit er achter de formjacking-aanvallen?

Eén aanvaller identificeren wanneer zoveel unieke websites het slachtoffer worden van een enkele aanval (of in elk geval de stijl van aanvallen) is altijd moeilijk voor beveiligingsonderzoekers. Net als bij andere recente cybercriminaliteitsgolven is er geen enkele dader. In plaats daarvan komt de meerderheid van formjacking uit Magecart-groepen.

Besloten vandaag langs RSA-stands te gaan om elke verkoper die Magecart in hun marketing gebruikt, te vragen wat het was. Antwoorden tot nu toe zijn blijkbaar:

- Een grote aanval op mijn organisatie
- Een grote onderneming van criminelen uit Rusland
- Een zeer geavanceerde aanval waarvoor ik product X nodig heb

1 / n

- Y ??????? K ???? s ?? (@ydklijnsma) 6 maart 2019

De naam komt van de software die de hackgroepen gebruiken om schadelijke code in kwetsbare e-commerce-sites te injecteren. Het veroorzaakt enige verwarring en je ziet Magecart vaak als een enkele entiteit gebruiken om een ​​hackgroep te beschrijven. In werkelijkheid vallen talloze Magecart-hackgroepen verschillende doelen aan, met verschillende technieken.

Yonathan Klijnsma, een onderzoeker naar dreigingen bij RiskIQ, volgt de verschillende Magecart-groepen. In een recent rapport gepubliceerd met Flash Intelligence-bedrijf Flashpoint, beschrijft Klijnsma zes verschillende groepen die Magecart gebruiken en onder dezelfde naam werken om detectie te voorkomen.

Het Inside Magecart-rapport [PDF] onderzoekt wat elk van de toonaangevende Magecart-groepen uniek maakt:

  • Groep 1 & 2: Val een breed scala aan doelen aan, gebruik geautomatiseerde tools om sites te doorbreken en af ​​te blazen; geld verdienen met gestolen gegevens met behulp van een geavanceerd herschikkingsschema.
  • Groep 3: Zeer groot aantal doelen, bedient een unieke injector en skimmer.
  • Groep 4: een van de meest geavanceerde groepen, past in de sites van slachtoffers met behulp van een reeks obfuscatietools.
  • Groep 5: Dient externe leveranciers toe meerdere doelen te overtreden, koppelingen naar de Ticketmaster-aanval.
  • Groep 6: Selectieve targeting van extreem hoogwaardige websites en services, waaronder de aanvallen van British Airways en Newegg.

Zoals je kunt zien, zijn de groepen schaduwrijk en gebruiken ze verschillende technieken. Bovendien concurreren de Magecart-groepen om een ​​effectief product voor het stelen van inloggegevens te creëren. De doelen zijn verschillend, omdat sommige groepen specifiek streven naar hoogwaardig rendement. Maar voor het grootste deel zwemmen ze in hetzelfde zwembad. (Deze zes zijn niet de enige Magecart-groepen die er zijn.)

Geavanceerde groep 4

De RiskIQ-onderzoeksnota identificeert Groep 4 als "geavanceerd". Wat betekent dat in de context van formjacking?

Groep 4 probeert op te gaan in de website die infiltreert. In plaats van extra onverwacht webverkeer te creëren dat een netwerkbeheerder of beveiligingsonderzoeker zou kunnen ontdekken, probeert Group 4 "natuurlijk" verkeer te genereren. Het doet dit door domeinen te registreren "die advertentieproviders, analyseproviders, slachtofferdomeinen en al het andere nabootsen" dat hen helpt zich in het zicht te verbergen.

Bovendien verandert Group 4 regelmatig het uiterlijk van zijn skimmer, hoe zijn URL's verschijnen, de data-exfiltratieservers en meer. Er is meer.

De formjacking skimmer van groep 4 valideert eerst de afrekenings-URL waarop deze werkt. Dan, in tegenstelling tot alle andere groepen, vervangt de skimmer van Groep 4 het betaalformulier door een eigen formulier en dient het afroomformulier rechtstreeks aan de klant (lees: slachtoffer). Het vervangen van het formulier 'standaardiseert de uit te trekken gegevens', waardoor het gemakkelijker wordt om opnieuw te gebruiken of door te verkopen.

RiskIQ concludeert dat “deze geavanceerde methoden in combinatie met geavanceerde infrastructuur wijzen op een waarschijnlijke geschiedenis in het bank-malware-ecosysteem. . . maar ze hebben hun MO [Modus Operandi] overgezet naar kaartskromen omdat het een stuk eenvoudiger is dan bankfraude. "

Hoe verdienen formjacking-groepen geld?

Meestal worden de gestolen inloggegevens online verkocht. Dit is hoeveel uw identiteit op het Dark Web waard kan zijn. Hier is hoeveel uw identiteit op het Dark Web waard kan zijn. Het is ongemakkelijk om uzelf als een handelswaar te beschouwen, maar al uw persoonlijke gegevens, van naam en adres tot bankrekeninggegevens, zijn iets waard voor online criminelen. Hoeveel ben je waard Lees verder . Er zijn tal van internationale en Russische taalforums met lange overzichten van gestolen creditcards en andere bankgegevens. Ze zijn niet de illegale, louche soort site die u zich kunt voorstellen.

Enkele van de meest populaire kaartsites presenteren zich als een professionele outfit - perfect Engels, perfecte grammatica, klantenservice; alles wat u van een legitieme e-commerce site verwacht.

magecart formjacking riskiq onderzoek

Magecart-groepen verkopen hun formjacking-pakketten ook door aan andere cybercriminelen. Analisten voor Flashpoint vonden op een Russisch hackforum advertenties voor aangepaste formjacking skimmer-kits. De kits variëren van ongeveer $ 250 tot $ 5.000, afhankelijk van de complexiteit, met leveranciers die unieke prijsmodellen weergeven.

Eén leverancier bood bijvoorbeeld budgetversies van professionele tools aan, gezien de spraakmakende formjacking-aanvallen.

Formjacking-groepen bieden ook toegang tot gecompromitteerde websites, met prijzen vanaf $ 0, 50, afhankelijk van de rangorde van de website, de hosting en andere factoren. Dezelfde Flashpoint-analisten ontdekten op hetzelfde hackforum ongeveer 3.000 inbreukmakende websites die te koop waren.

Bovendien waren er "meer dan een dozijn verkopers en honderden kopers" actief op hetzelfde forum.

Hoe kun je een Formjacking-aanval stoppen?

Formagejack skimmers van Magecart gebruiken JavaScript om betalingsformulieren van klanten te exploiteren. Het gebruik van een browsergebaseerde scriptblokker is meestal voldoende om te voorkomen dat een formjacking-aanval uw gegevens steelt.

  • Chrome-gebruikers moeten ScriptSafe eens bekijken
  • Firefox-gebruikers kunnen NoScript gebruiken
  • Opera-gebruikers kunnen ScriptSafe gebruiken
  • Safari-gebruikers zouden JSBlocker moeten bekijken

Nadat u een van de extensies voor het blokkeren van scripts aan uw browser hebt toegevoegd, hebt u aanzienlijk meer bescherming tegen formjacking-aanvallen. Het is echter niet perfect .

Het RiskIQ-rapport suggereert om kleinere sites te vermijden die niet hetzelfde beschermingsniveau hebben als een grote site. Aanvallen op British Airways, Newegg en Ticketmaster suggereren dat advies niet helemaal correct is. Maar laat het niet buiten. Een moeder en pop e-commerce site zal eerder een Magecart formjacking script hosten.

Een andere beperking is Malwarebytes Premium. Malwarebytes Premium biedt realtime systeemscanning en bescherming in de browser. De Premium-versie beschermt tegen precies dit soort aanvallen. Niet zeker over upgraden? Hier zijn vijf uitstekende redenen om te upgraden naar Malwarebytes Premium 5 Redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard 5 Redenen om te upgraden naar Malwarebytes Premium: Ja, het is het waard Terwijl de gratis versie van Malwarebytes geweldig is, heeft de premium-versie een heleboel handige en nuttige functies. Lees verder !

Ontdek meer over: Formjacking, online beveiliging.