Was ist Formjacking und wie können Sie es vermeiden?
Werbung
2017 war das Jahr der Ransomware. 2018 drehte sich alles um Cryptojacking. 2019 ist das Jahr des Formjacking.
Drastische Wertverluste bei Kryptowährungen wie Bitcoin und Monero bedeuten, dass Cyberkriminelle nach betrügerischen Gewinnen Ausschau halten. Was gibt es Schöneres, als Ihre Bankdaten direkt aus dem Produktbestellformular zu stehlen, bevor Sie auf "Senden" klicken. Stimmt; Sie brechen nicht in Ihre Bank ein. Angreifer heben Ihre Daten auf, bevor es überhaupt so weit kommt.
Folgendes müssen Sie über Formjacking wissen.
Was ist Formjacking?
Ein Formjacking-Angriff ist eine Möglichkeit für einen Cyberkriminellen, Ihre Bankdaten direkt von einer E-Commerce-Website abzufangen.
Laut Symantec Internet Security Threat Report 2019 haben Formjacker im Jahr 2018 jeden Monat 4.818 einzelne Websites kompromittiert. Im Laufe des Jahres hat Symantec mehr als 3, 7 Millionen Formjacking-Versuche blockiert.
Darüber hinaus kam es in den letzten beiden Monaten des Jahres 2018 zu mehr als 1 Million dieser Formjacking-Versuche, die sich auf das Black Friday-Wochenende im November und die gesamte Weihnachts-Shopping-Periode im Dezember auswirkten.
Wenn Betrüger bei Infektionen und Neuinfektionen im MageCart-Stil einen Anstieg feststellen, haben sie keine Feiertage.
- Natmchugh (@natmchugh) 21. Dezember 2018
Wie funktioniert ein Formjacking-Angriff?
Beim Formjacking wird bösartiger Code in die Website eines E-Commerce-Anbieters eingefügt. Der böswillige Code stiehlt Zahlungsinformationen wie Kartendetails, Namen und andere persönliche Informationen, die häufig beim Online-Einkauf verwendet werden. Die gestohlenen Daten werden zur Wiederverwendung oder zum Verkauf an einen Server gesendet. Das Opfer weiß nicht, dass seine Zahlungsinformationen kompromittiert sind.
Alles in allem scheint es einfach. Es ist weit davon entfernt. Ein Hacker hat 22 Codezeilen verwendet, um Skripts zu ändern, die auf der British Airways-Site ausgeführt werden. Der Angreifer hat 380.000 Kreditkartendaten gestohlen und dabei über 13 Millionen Pfund Sterling abgebucht.
Darin liegt der Reiz. Die jüngsten bekannten Angriffe auf British Airways, TicketMaster UK, Newegg, Home Depot und Target haben einen gemeinsamen Nenner: Formjacking.
Wer steckt hinter den Formjacking-Angriffen?
Es ist für Sicherheitsforscher immer schwierig, einen einzelnen Angreifer zu identifizieren, wenn so viele einzelne Websites Opfer eines einzelnen Angriffs werden (oder zumindest eines Angriffsstils). Wie bei anderen jüngsten Cyberkriminalitätswellen gibt es keinen einzigen Täter. Stattdessen stammt der Großteil des Formjacking von Magecart-Gruppen.
Beschlossen, heute an RSA-Ständen nachzufragen, was Magecart für Marketingzwecke ist. Bisherige Antworten sind offenbar:
- Ein schwerer Angriff auf meine Organisation
- Ein großes Unternehmen von Kriminellen aus Russland
- Ein hochentwickelter Angriff, für den ich Produkt X benötige1 / n
- Y ??????? K ???? s ?? (@ydklijnsma) 6. März 2019
Der Name stammt von der Software, mit der die Hacking-Gruppen bösartigen Code in anfällige E-Commerce-Sites einschleusen. Dies führt zu einigen Verwirrungen, und Sie sehen Magecart oft als eigenständige Einheit zur Beschreibung einer Hacking-Gruppe. In Wirklichkeit greifen zahlreiche Magecart-Hacking-Gruppen unterschiedliche Ziele mit unterschiedlichen Techniken an.
Yonathan Klijnsma, ein Bedrohungsforscher bei RiskIQ, verfolgt die verschiedenen Magecart-Gruppen. In einem kürzlich veröffentlichten Bericht des Risk-Intelligence-Unternehmens Flashpoint beschreibt Klijnsma sechs verschiedene Gruppen, die Magecart verwenden und unter demselben Namen operieren, um einer Entdeckung zu entgehen.
Der Inside Magecart-Bericht [PDF] untersucht, was jede der führenden Magecart-Gruppen einzigartig macht:
- Gruppe 1 & 2: Greife eine Vielzahl von Zielen an und benutze automatisierte Tools, um Websites zu durchbrechen und zu überfliegen. Monetarisiert gestohlene Daten mithilfe eines ausgeklügelten Umladeschemas.
- Gruppe 3: Sehr großes Zielvolumen, betreibt einen einzigartigen Injektor und Skimmer.
- Gruppe 4: Eine der fortschrittlichsten Gruppen, die sich mit einer Reihe von Verschleierungswerkzeugen in die Opferstätten einfügt.
- Gruppe 5: Zielt darauf ab, dass Drittanbieter mehrere Ziele verletzen. Dies ist ein Link zum Ticketmaster-Angriff.
- Gruppe 6: Selektives Targeting von äußerst hochwertigen Websites und Diensten, einschließlich der Angriffe von British Airways und Newegg.
Wie Sie sehen, sind die Gruppen schattig und verwenden unterschiedliche Techniken. Darüber hinaus konkurrieren die Magecart-Gruppen um ein effektives Produkt für den Diebstahl von Anmeldeinformationen. Die Ziele sind unterschiedlich, da einige Gruppen gezielt hochwertige Renditen anstreben. Aber zum größten Teil schwimmen sie im selben Pool. (Diese sechs sind nicht die einzigen Magecart-Gruppen da draußen.)
Erweiterte Gruppe 4
Das RiskIQ Research Paper identifiziert Gruppe 4 als „fortgeschritten“. Was bedeutet das im Zusammenhang mit Formjacking?
Gruppe 4 versucht, sich in die von ihr infiltrierte Website einzufügen. Anstatt zusätzlichen unerwarteten Webdatenverkehr zu generieren, den ein Netzwerkadministrator oder Sicherheitsforscher möglicherweise entdeckt, versucht Gruppe 4, "natürlichen" Datenverkehr zu generieren. Dazu werden Domains registriert, die "Anzeigenanbieter, Analytics-Anbieter, Domains der Opfer und alles andere imitieren" und so dazu beitragen, dass sie sich in den Augen der Betroffenen verstecken.
Darüber hinaus ändert Gruppe 4 regelmäßig das Erscheinungsbild des Skimmers, die URLs, die Datenexfiltrationsserver und vieles mehr. Es gibt mehr.
Der Formjacking-Skimmer der Gruppe 4 überprüft zunächst die Checkout-URL, unter der er ausgeführt wird. Dann ersetzt der Abschäumer der Gruppe 4 im Gegensatz zu allen anderen Gruppen das Zahlungsformular durch ein eigenes und stellt das Abschäumerformular direkt dem Kunden zur Verfügung (siehe: Opfer). Durch das Ersetzen des Formulars "Standardisiert die herauszuziehenden Daten" wird die Wiederverwendung oder der Weiterverkauf erleichtert.
RiskIQ kommt zu dem Schluss, dass „diese fortschrittlichen Methoden in Kombination mit einer ausgeklügelten Infrastruktur eine wahrscheinliche Entwicklung im Bank-Malware-Ökosystem anzeigen. . . Aber sie haben ihren MO [Modus Operandi] auf Karten-Skimming umgestellt, weil es viel einfacher ist als Bankbetrug. “
Wie verdienen Formjacking-Gruppen Geld?
Meistens werden die gestohlenen Anmeldeinformationen online verkauft. Hier ist, wie viel Ihre Identität im dunklen Web wert sein könnte. Hier ist, wie viel Ihre Identität im dunklen Web wert sein könnte. Es ist unangenehm, sich selbst als Ware zu betrachten, aber all Ihre persönlichen Details, von Name und Adresse bis hin zu Bankkontodaten, sind Online-Kriminellen etwas wert. Wie viel bist du wert? Weiterlesen . Es gibt zahlreiche internationale und russischsprachige Kartenforen mit langen Listen gestohlener Kreditkarten- und anderer Bankdaten. Sie sind nicht die illegale, abscheuliche Art von Website, die Sie sich vorstellen können.
Einige der beliebtesten Kartenseiten präsentieren sich als professionelles Outfit - perfektes Englisch, perfekte Grammatik, Kundenservice; Alles, was Sie von einer seriösen E-Commerce-Site erwarten.
Magierwagen-Gruppen verkaufen ihre Formjacking-Pakete auch an andere Cyberkriminelle weiter. Analysten für Flashpoint haben in einem russischen Hacking-Forum Anzeigen für maßgeschneiderte Formjacking-Skimmer-Kits gefunden. Die Kits variieren je nach Komplexität zwischen 250 und 5.000 US-Dollar. Die Anbieter bieten einzigartige Preismodelle an.
Zum Beispiel bot ein Anbieter kostengünstige Versionen professioneller Tools an, bei denen es sich um bekannte Formjacking-Angriffe handelte.
Formjacking-Gruppen bieten auch Zugriff auf gefährdete Websites. Die Preise beginnen bereits bei 0, 50 US-Dollar, abhängig vom Website-Ranking, dem Hosting und anderen Faktoren. Dieselben Flashpoint-Analysten stellten fest, dass im selben Hacking-Forum rund 3.000 Websites zum Verkauf angeboten wurden.
Darüber hinaus gab es "mehr als ein Dutzend Verkäufer und Hunderte von Käufern", die im selben Forum tätig waren.
Wie können Sie einen Formjacking-Angriff stoppen?
Magecart Formjacking-Skimmer nutzen JavaScript, um Zahlungsformulare für Kunden zu nutzen. Die Verwendung eines browserbasierten Skriptblockers reicht normalerweise aus, um einen Formjacking-Angriff zu stoppen, der Ihre Daten stiehlt.
- Chrome-Nutzer sollten ScriptSafe ausprobieren
- Firefox-Benutzer können NoScript verwenden
- Opera-Benutzer können ScriptSafe verwenden
- Safari-Benutzer sollten JSBlocker ausprobieren
Sobald Sie eine der Erweiterungen zum Blockieren von Skripten zu Ihrem Browser hinzugefügt haben, sind Sie erheblich besser vor Formjacking-Angriffen geschützt. Es ist jedoch nicht perfekt .
Der RiskIQ-Bericht schlägt vor, kleinere Standorte zu vermeiden, die nicht das gleiche Schutzniveau aufweisen wie große Standorte. Angriffe auf British Airways, Newegg und Ticketmaster lassen vermuten, dass der Rat nicht ganz stichhaltig ist. Diskontieren Sie es aber nicht. Auf einer E-Commerce-Site für Freunde und Verwandte wird mit größerer Wahrscheinlichkeit ein Magecart-Formjacking-Skript gehostet.
Eine weitere Minderung ist Malwarebytes Premium. Malwarebytes Premium bietet Echtzeit-Systemscan und In-Browser-Schutz. Die Premium-Version schützt genau vor solchen Angriffen. Sie sind sich nicht sicher, ob Sie ein Upgrade durchführen möchten? Hier sind fünf gute Gründe für ein Upgrade auf Malwarebytes Premium 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich 5 Gründe für ein Upgrade auf Malwarebytes Premium: Ja, es lohnt sich Obwohl die kostenlose Version von Malwarebytes fantastisch ist, hat die Premium-Version eine viele nützliche und lohnende Funktionen. Weiterlesen !
Weitere Informationen zu: Formjacking, Online-Sicherheit.
