Was ist Formjacking und wie können Sie es vermeiden?

Werbung

2017 war das Jahr der Ransomware. 2018 drehte sich alles um Cryptojacking. 2019 wird zum Jahr des Formjacking.

Durch drastische Wertminderungen von Kryptowährungen wie Bitcoin und Monero suchen Cyberkriminelle anderswo nach betrügerischen Gewinnen. Was gibt es Schöneres, als Ihre Bankdaten direkt aus dem Produktbestellformular zu stehlen, bevor Sie überhaupt auf "Senden" klicken. Das stimmt; Sie brechen nicht in Ihre Bank ein. Angreifer heben Ihre Daten auf, bevor sie überhaupt so weit kommen.

Folgendes müssen Sie über Formjacking wissen:

Was ist Formjacking?

Ein Formjacking-Angriff ist eine Möglichkeit für einen Cyberkriminellen, Ihre Bankdaten direkt von einer E-Commerce-Website abzufangen.

Laut der Symantec Internet Security Threat Report 2019Im Jahr 2018 haben Formjacker jeden Monat 4.818 einzigartige Websites kompromittiert. Im Laufe des Jahres blockierte Symantec über 3,7 Millionen Formjacking-Versuche.

Darüber hinaus kam es in den letzten zwei Monaten des Jahres 2018 zu mehr als 1 Million dieser Formjacking-Versuche bis zum November-Black-Friday-Wochenende und weiter während der Weihnachtseinkaufsperiode im Dezember.

Betrüger haben keine Feiertage, wenn sie einen Anstieg der Infektionen und Reinfektionen im MageCart-Stil feststellen.

- natmchugh (@natmchugh) 21. Dezember 2018

Wie funktioniert ein Formjacking-Angriff?

Beim Formjacking wird bösartiger Code in die Website eines E-Commerce-Anbieters eingefügt. Der Schadcode stiehlt Zahlungsinformationen wie Kartendetails, Namen und andere persönliche Informationen, die häufig beim Online-Einkauf verwendet werden. Die gestohlenen Daten werden zur Wiederverwendung oder zum Verkauf an einen Server gesendet, wobei das Opfer nicht weiß, dass seine Zahlungsinformationen kompromittiert sind.

Alles in allem scheint es einfach. Es ist weit davon entfernt. Ein Hacker verwendete 22 Codezeilen, um Skripte zu ändern, die auf der Website von British Airways ausgeführt werden. Der Angreifer stahl 380.000 Kreditkartendaten und verrechnete damit über 13 Millionen Pfund.

Darin liegt der Reiz. Die jüngsten hochkarätigen Angriffe auf British Airways, TicketMaster UK, Newegg, Home Depot und Target haben einen gemeinsamen Nenner: Formjacking.

Wer steckt hinter den Formjacking-Angriffen?

Es ist für Sicherheitsforscher immer schwierig, einen einzelnen Angreifer zu lokalisieren, wenn so viele einzigartige Websites einem einzelnen Angriff (oder zumindest einem Angriffsstil) zum Opfer fallen. Wie bei anderen jüngsten Cyberkriminalitätswellen gibt es keinen einzigen Täter. Stattdessen stammt der Großteil des Formjacking aus Magecart-Gruppen.

Wir haben uns heute für RSA-Stände entschieden, um jeden Anbieter, der Magecart in seinem Marketing einsetzt, zu fragen, was es ist. Bisherige Antworten sind anscheinend:

- Ein schwerer Angriff auf meine Organisation
- Ein großes Unternehmen von Kriminellen aus Russland
- Ein hochentwickelter Angriff, für den ich Produkt X benötige

1 / n

- Y??? K??? s?? (@ydklijnsma) 6. März 2019

Der Name stammt von der Software, mit der die Hacking-Gruppen schädlichen Code in anfällige E-Commerce-Websites einfügen. Es verursacht einige Verwirrung, und Sie sehen oft, dass Magecart als singuläre Einheit verwendet wird, um eine Hacking-Gruppe zu beschreiben. In Wirklichkeit greifen zahlreiche Magecart-Hacking-Gruppen unterschiedliche Ziele mit unterschiedlichen Techniken an.

Yonathan Klijnsma, ein Bedrohungsforscher bei RiskIQ, verfolgt die verschiedenen Magecart-Gruppen. In einem kürzlich veröffentlichten Bericht des Risikoinformationsunternehmens Flashpoint beschreibt Klijnsma sechs verschiedene Gruppen, die Magecart verwenden und unter demselben Namen arbeiten, um einer Entdeckung zu entgehen.

Das Innerhalb des Magecart-Berichts [PDF] untersucht, was jede der führenden Magecart-Gruppen einzigartig macht:

• Gruppe 1 & 2: Greife eine Vielzahl von Zielen an, benutze automatisierte Tools, um Websites zu durchbrechen und zu überfliegen. Monetarisiert gestohlener Daten mithilfe eines ausgeklügelten Reshipping-Systems.
• Gruppe 3: Sehr hohes Zielvolumen, betreibt einen einzigartigen Injektor und Skimmer.
• Gruppe 4: Eine der am weitesten fortgeschrittenen Gruppen fügt sich mithilfe einer Reihe von Verschleierungswerkzeugen in die Opferorte ein.
• Gruppe 5: Zielt Drittanbieter ab, mehrere Ziele zu verletzen, und verweist auf den Ticketmaster-Angriff.
• Gruppe 6: Selektives Targeting von Websites und Diensten mit extrem hohem Wert, einschließlich der Angriffe von British Airways und Newegg.

Wie Sie sehen können, sind die Gruppen schattig und verwenden unterschiedliche Techniken. Darüber hinaus konkurrieren die Magecart-Gruppen um ein effektives Produkt zum Stehlen von Anmeldeinformationen. Die Ziele sind unterschiedlich, da einige Gruppen speziell auf hochwertige Renditen abzielen. Aber zum größten Teil schwimmen sie im selben Pool. (Diese sechs sind nicht die einzigen Magecart-Gruppen da draußen.)

Fortgeschrittene Gruppe 4

Das RiskIQ-Forschungspapier identifiziert Gruppe 4 als „fortgeschritten“. Was bedeutet das im Zusammenhang mit Formjacking?

Gruppe 4 versucht, sich in die Website einzufügen, die infiltriert wird. Anstatt zusätzlichen unerwarteten Webdatenverkehr zu erstellen, den ein Netzwerkadministrator oder Sicherheitsforscher möglicherweise entdeckt, versucht Gruppe 4, „natürlichen“ Datenverkehr zu generieren. Dazu werden Domains registriert, die "Anzeigenanbieter, Analyseanbieter, Domains des Opfers und alles andere imitieren" und ihnen dabei helfen, sich in der Öffentlichkeit zu verstecken.

Darüber hinaus ändert Gruppe 4 regelmäßig das Erscheinungsbild des Skimmers, die URLs, die Datenexfiltrationsserver und vieles mehr. Es gibt mehr.

Der Formjacking-Skimmer der Gruppe 4 überprüft zunächst die Checkout-URL, unter der er funktioniert. Im Gegensatz zu allen anderen Gruppen ersetzt der Skimmer der Gruppe 4 das Zahlungsformular durch ein eigenes und stellt das Skimming-Formular direkt dem Kunden zur Verfügung (sprich: Opfer). Das Ersetzen des Formulars "standardisiert die Daten, die abgerufen werden sollen", erleichtert die Wiederverwendung oder den Weiterverkauf.

RiskIQ kommt zu dem Schluss, dass „diese fortschrittlichen Methoden in Kombination mit einer hoch entwickelten Infrastruktur auf eine wahrscheinliche Geschichte im Ökosystem der Bank-Malware hinweisen... Aber sie haben ihren MO [Modus Operandi] auf das Überfliegen von Karten übertragen, weil dies viel einfacher ist als Bankbetrug. “

Wie verdienen Formjacking-Gruppen Geld?

Meistens die gestohlene Anmeldeinformationen werden online verkauft So viel könnte Ihre Identität im Dark Web wert seinEs ist unangenehm, sich als Ware zu betrachten, aber alle Ihre persönlichen Daten, von Name und Adresse bis hin zu Bankkontodaten, sind für Online-Kriminelle etwas wert. Wie viel bist du wert? Weiterlesen . Es gibt zahlreiche internationale und russischsprachige Kartenforen mit langen Listen gestohlener Kreditkarten und anderer Bankinformationen. Sie sind nicht die illegale, heruntergekommene Art von Website, die Sie sich vorstellen können.

Einige der beliebtesten Kartenseiten präsentieren sich als professionelles Outfit - perfektes Englisch, perfekte Grammatik, Kundenservice; Alles, was Sie von einer legitimen E-Commerce-Website erwarten.

Magecart-Gruppen verkaufen ihre Formjacking-Pakete auch an andere potenzielle Cyberkriminelle weiter. Analysten für Flashpoint haben in einem russischen Hacking-Forum Anzeigen für angepasste Formjacking-Skimmer-Kits gefunden. Die Kits kosten je nach Komplexität zwischen 250 und 5.000 US-Dollar, wobei die Anbieter einzigartige Preismodelle anzeigen.

Zum Beispiel bot ein Anbieter Budgetversionen professioneller Tools an, bei denen es sich um hochkarätige Formjacking-Angriffe handelte.

Formjacking-Gruppen bieten auch Zugriff auf gefährdete Websites. Die Preise beginnen bereits bei 0,50 US-Dollar, abhängig vom Website-Ranking, dem Hosting und anderen Faktoren. Dieselben Flashpoint-Analysten entdeckten rund 3.000 Websites, die im selben Hacking-Forum zum Verkauf angeboten wurden.

Darüber hinaus waren „mehr als ein Dutzend Verkäufer und Hunderte von Käufern“ im selben Forum tätig.

Wie können Sie einen Formjacking-Angriff stoppen?

Magecart Formjacking Skimmer verwenden JavaScript, um Kundenzahlungsformulare auszunutzen. Die Verwendung eines browserbasierten Skriptblockers reicht normalerweise aus, um einen Formjacking-Angriff zu stoppen, der Ihre Daten stiehlt.

• Chrome-Nutzer sollten auschecken ScriptSafe
• Firefox-Benutzer können verwenden NoScript
• Opera-Benutzer können verwenden ScriptSafe
• Safari-Benutzer sollten auschecken JSBlocker

Sobald Sie Ihrem Browser eine der Skriptblockierungserweiterungen hinzufügen, haben Sie einen wesentlich besseren Schutz vor Formjacking-Angriffen. Es ist jedoch nicht perfekt.

Der RiskIQ-Bericht schlägt vor, kleinere Standorte zu vermeiden, die nicht das gleiche Schutzniveau wie ein Hauptstandort haben. Angriffe auf British Airways, Newegg und Ticketmaster deuten darauf hin, dass Ratschläge nicht ganz richtig sind. Diskontieren Sie es jedoch nicht. Auf einer E-Commerce-Website für Mama und Pop wird mit größerer Wahrscheinlichkeit ein Magecart-Formjacking-Skript gehostet.

Eine weitere Minderung ist Malwarebytes Premium. Malwarebytes Premium bietet Echtzeit-System-Scan und Browser-Schutz. Die Premium-Version schützt vor genau dieser Art von Angriff. Sie sind sich nicht sicher, ob Sie ein Upgrade durchführen sollen? Hier sind Fünf gute Gründe für ein Upgrade auf Malwarebytes Premium 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sichWährend die kostenlose Version von Malwarebytes fantastisch ist, bietet die Premium-Version eine Reihe nützlicher und lohnender Funktionen. Weiterlesen !