Mainos

2017 oli lunaohjelmien vuosi. 2018 oli kaikkea kryptojacking. 2019 on muotoutumassa muodostumisen vuodeksi.

Kriittisten valuuttojen, kuten Bitcoinin ja Moneron, arvon lasku tarkoittaa, että verkkorikolliset etsivät vilpillisiä voittoja muualta. Mikä olisi parempi paikka kuin varastaa pankkitietosi suoraan tuotemyyntilomakkeelta, ennen kuin edes ostat lähettää. Oikein; he eivät tunkeudu pankkiisi. Hyökkääjät nostavat tietojasi, ennen kuin se edes menee niin pitkälle.

Tässä on mitä sinun on tiedettävä muotoilusta.

Mikä on Formjacking?

Muotoilijahyökkäys on tapa verkkorikolliselle sieppata pankkitietosi suoraan verkkokauppasivustolta.

Mukaan Symantecin Internet Security -uhkaraportti 2019, formjackers vahingoitti 4818 ainutlaatuista verkkosivustoa joka kuukausi vuonna 2018. Symantec esti vuoden aikana yli 3,7 miljoonaa muodostumisyritystä.

Lisäksi yli miljoona näistä muodostumisyrityksistä tuli vuoden 2018 kahden viimeisen kuukauden aikana - ramppia ylöspäin kohti marraskuun mustan perjantain viikonloppua ja edelleen koko joulukuun jouluostoksien ajan.

instagram viewer

Huomautuksen näyttäminen MageCart-tyylisissä tartunnoissa ja uudelleeninfektioissa ei huijareilla ole lomaa.

- natmchugh (@natmchugh) 21. joulukuuta 2018

Joten miten muotoilijahyökkäys toimii?

Formjacking sisältää haitallisen koodin lisäämisen verkkokaupan tarjoajan verkkosivustoon. Haittaohjelma varastaa maksutiedot, kuten korttitiedot, nimet ja muut henkilökohtaiset tiedot, joita yleensä käytetään verkkokaupoissa. Varastetut tiedot lähetetään palvelimelle uudelleenkäyttöön tai myyntiin, uhri ei tiedä, että heidän maksutietonsa ovat vaarantuneet.

Kaiken kaikkiaan se näyttää yksinkertaiselta. Se on kaukana siitä. Yksi hakkeri käytti 22 koodiriviä muokataksesi skriptejä, jotka olivat käynnissä British Airways -sivustolla. Hyökkääjä varasti 380 000 luottokorttitietoa, nettoen yli 13 miljoonaa puntaa prosessissa.

Siinä on houkutus. Viimeaikaisilla korkean profiilin hyökkäyksillä British Airwaysin, TicketMaster UK: n, Neweggin, Home Depotin ja Targetin kohdalla on yhteinen nimittäjä: formjacking.

Kuka takaa muotoilun hyökkäykset?

Yhden hyökkääjän määrittäminen, kun niin monet ainutlaatuiset verkkosivustot joutuvat yhden hyökkäyksen (tai ainakin hyökkäyksen tyylin) uhreiksi, on turvallisuustutkijoille aina vaikeaa. Kuten muissa viimeaikaisissa tietoverkkorikollisuuden aalloissa, yhtäkään tekijää ei ole. Sen sijaan suurin osa muotoilusta johtuu Magecart-ryhmistä.

RSA-osastot päättivät mennä tänään kysymään jokaiselta Magecart-markkinointia käyttävältä myyjältä markkinoinnissaan, mikä se oli. Vastaukset tähän päivään ilmeisesti ovat:

- Suuri hyökkäys organisaatiooni
- Suuri yritys rikollisia Venäjältä
- Erittäin hienostunut hyökkäys, jota varten tarvitsen tuotetta X

1 / n

- Y??? K??? s?? (@Ydklijnsma) 6. maaliskuuta 2019

Nimi johtuu ohjelmistosta, jota hakkerointiryhmät käyttävät haittaohjelmien syöttämiseen haavoittuviin verkkokauppasivustoihin. Se aiheuttaa jonkin verran sekaannusta, ja näet usein Magecartin, jota käytetään yksittäisenä kokonaisuutena kuvaamaan hakkerointiryhmää. Todellisuudessa monet Magecart-hakkerointiryhmät hyökkäävät eri kohteisiin käyttämällä erilaisia ​​tekniikoita.

RiskIQ: n uhatutkija Yonathan Klijnsma seuraa useita Magecart-ryhmiä. Äskettäisessä riskitiedustelupalveluyrityksen Flashpointin kanssa julkaistussa raportissa Klijnsma erittelee kuusi erillistä ryhmää, jotka käyttävät Magecartia ja toimivat saman ohjaimen alla havaitsemisen välttämiseksi.

Sisällä Magecart-raportti [PDF] tutkii, mikä tekee jokaisesta johtavasta Magecart-ryhmästä ainutlaatuisen:

  • Ryhmä 1 ja 2: Hyökkää monenlaisia ​​kohteita, käytä automaattisia työkaluja sivustojen rikkomiseen ja luomiseen; ansaitsee varastettujen tietojen avulla hienostunutta uudelleenlähetysjärjestelmää.
  • Ryhmä 3: Erittäin suuri määrä kohteita, käyttää ainutlaatuista injektoria ja rasvanpoistajaa.
  • Ryhmä 4: Yksi edistyneimmistä ryhmistä sekoittuu uhrin sivustoihin käyttämällä erilaisia ​​hämärtämisvälineitä.
  • Ryhmä 5: Kohdistaa kolmansien osapuolien toimittajat rikkomaan useita tavoitteita, linkit Ticketmaster-hyökkäykseen.
  • Ryhmä 6: Erittäin arvokkaiden verkkosivustojen ja palvelujen valikoiva kohdistaminen, mukaan lukien British Airways- ja Newegg-hyökkäykset.

Kuten näette, ryhmät ovat varjoisia ja käyttävät erilaisia ​​tekniikoita. Lisäksi Magecart-ryhmät kilpailevat tehokkaan valtakirjavarastotuotteen luomiseksi. Tavoitteet ovat erilaisia, koska jotkut ryhmät pyrkivät nimenomaan arvokkaisiin tuottoihin. Mutta suurimmaksi osaksi he uivat samassa uima-altaassa. (Nämä kuusi eivät ole ainoita Magecart-ryhmiä siellä.)

Edistynyt ryhmä 4

RiskIQ-tutkimusasiakirjassa tunnistetaan ryhmä 4 ”edistyneeksi”. Mitä tämä tarkoittaa muotoilun yhteydessä?

Ryhmä 4 yrittää sulautua verkkosivustoon, johon se tunkeutuu. Sen sijaan, että luodaan ylimääräistä odottamatonta verkkoliikennettä, jota verkonvalvoja tai tietoturvatutkija saattaa havaita, ryhmä 4 yrittää tuottaa "luonnollista" liikennettä. Se tekee tämän rekisteröimällä verkkotunnuksia, jotka jäljittelevät mainostajien, analytiikan tarjoajien, uhrin verkkotunnuksia ja kaikkea muuta, mikä auttaa heitä piiloutumaan näkyvissä.

Lisäksi ryhmä 4 muuttaa säännöllisesti skimmerin ulkonäköä, sen URL-osoitteiden ulkoasua, datan suodatuspalvelimia ja muuta. Siellä on enemmän.

Ryhmän 4 muokkauskeräin vahvistaa ensin kassan URL-osoitteen, jolla se toimii. Sitten, toisin kuin kaikki muut ryhmät, ryhmän 4 rasvattajat korvaavat maksulomakkeen yhdellä omalla, tarjoamalla kuormituslomakkeen suoraan asiakkaalle (lue: uhri). Lomakkeen korvaaminen ”standardoi tiedot vetämistä varten”, mikä helpottaa uudelleenkäyttöä tai myyntiä.

RiskIQ päättelee, että ”nämä edistyneet menetelmät yhdessä hienostuneen infrastruktuurin kanssa viittaavat todennäköiseen historiaan pankkien haittaohjelmien ekosysteemissä... mutta he siirsivät MO: nsa [Modus Operandi] kohti kortinvalintaa, koska se on paljon helpompaa kuin pankkipetokset. "

Kuinka formjacking-ryhmät ansaitsevat rahaa?

Suurimman osan ajasta varastettuja valtakirjoja myydään verkossa Tässä on kuinka paljon henkilöllisyytesi voi olla arvoinen pimeässä verkossaOn epämiellyttävää ajatella itseäsi hyödykkeenä, mutta kaikki henkilökohtaiset tietosi, nimestä ja osoitteesta pankkitilitietoihin, ovat jotain arvoinen verkkorikollisille. Kuinka paljon olet arvoinen? Lue lisää . On olemassa lukuisia kansainvälisiä ja venäjänkielisiä karstaustapahtumia, joissa on pitkiä varastettujen luottokorttien ja muiden pankkitietojen luetteloita. Ne eivät ole laittomia, sieppaustyyppejä, joita saatat kuvitella.

Jotkut suosituimmista karstauspaikoista esittäytyvät ammattimaisena asuina - täydellinen englanti, täydellinen kielioppi, asiakaspalvelut; kaikki mitä odotat lailliselta verkkokauppasivustolta.

Magecart formjacking riskq tutkimus

Magecart-ryhmät jälleenmyyvät lomakepakettiaan myös muille mahdollisille verkkorikollisille. Flashpointin analyytikot löysivät ilmoituksia räätälöityistä formjacking skimmer -sarjoista venäläisellä hakkerointifoorumilla. Sarjat vaihtelevat noin 250 dollarista 5000 dollariin monimutkaisuudesta riippuen, ja myyjät esittävät ainutlaatuisia hinnoittelumalleja.

Esimerkiksi yksi myyjä tarjosi budjettiversioita ammattimaisista työkaluista, jotka näkivät korkean profiilin muotoilijahyökkäykset.

Formjacking-ryhmät tarjoavat myös pääsyn vaarantuneille verkkosivustoille, joiden hinnat alkavat niinkin alhaalta kuin 0,50 dollaria, riippuen verkkosivustojen sijoituksesta, isännöinnistä ja muista tekijöistä. Samat Flashpoint-analyytikot löysivät samasta hakkerointifoorumista noin 3000 rikkoneet verkkosivustoa myynnissä.

Lisäksi samassa foorumissa toimi ”yli tusina myyjää ja satoja ostajia”.

Kuinka voit lopettaa muotoilun hyökkäyksen?

Magecart-muotoilukimmittajat käyttävät JavaScriptiä asiakkaiden maksulomakkeiden hyödyntämiseen. Selainpohjaisen komentosarjojen estäjän käyttö yleensä riittää estämään lomakkeen hyökkäämisen varastamasta tietojasi.

  • Chromen käyttäjien tulee tarkistaa ScriptSafe
  • Firefox-käyttäjät voivat käyttää NoScript
  • Oopperan käyttäjät voivat käyttää ScriptSafe
  • Safarin käyttäjien tulee tarkistaa JSBlocker

Kun olet lisännyt jonkin komentosarjojen estävistä laajennuksista selaimeesi, sinulla on huomattavasti parempi suoja formjacking-hyökkäyksiä vastaan. Se ei kuitenkaan ole täydellinen.

RiskIQ-raportissa suositellaan välttämään pienempiä sivustoja, joiden suojaustaso ei ole yhtä suuri kuin suurten sivustojen. Hyökkäykset British Airwaysiin, Neweggiin ja Ticketmasteriin viittaavat siihen, että neuvonta ei ole täysin perusteltua. Älä kuitenkaan alenna sitä. Äiti- ja pop-verkkokauppasivusto ylläpitävät todennäköisemmin Magecart-muotoilukäyttöohjelmaa.

Toinen lievennys on Malwarebytes Premium. Malwarebytes Premium tarjoaa reaaliaikaisen järjestelmän skannauksen ja selaimen sisäisen suojauksen. Premium-versio suojaa juuri tällaisilta hyökkäyksiltä. Etkö ole varma päivityksestä? Tässä ovat viisi erinomaista syytä päivittää Malwarebytes Premium -järjestelmään 5 syytä päivitykseen Malwarebytes Premium -sovellukseen: Kyllä, se on sen arvoistaVaikka Malwarebytesin ilmainen versio on mahtava, premium-versiossa on joukko hyödyllisiä ja hyödyllisiä ominaisuuksia. Lue lisää !

Gavin on MUO: n vanhempi kirjoittaja. Hän on myös toimittaja ja SEO Manager MakeUseOfin salaustekniselle sisaryritykselle Blocks Decoded. Hänellä on nykyaikainen BA (Hons) -kirjallisuus digitaalisen taiteen käytännöllä, joka on repiä Devonin kukkuloilta, sekä yli kymmenen vuoden ammattikirjoittamisen kokemus. Hän nauttii runsasta määrää teetä.