Skelbimas

2017-ieji buvo išpirkos programos metai. 2018 m. Viskas buvo susijusi su kriptovaliutomis. 2019 metai formuojasi kaip formavimo metai.

Drastiškas kriptovaliutų, tokių kaip „Bitcoin“ ir „Monero“, vertės sumažėjimas reiškia, kad kibernetiniai nusikaltėliai kitur ieško apgaulingo pelno. Kur kas geresnė vieta nei pavogti banko informaciją tiesiai iš produkto užsakymo formos, net prieš paspausdami pateikti. Teisingai; jie nesikiša į jūsų banką. Užpuolikai panaikina jūsų duomenis, kol jie dar nėra pasiekti taip toli.

Štai ką reikia žinoti apie formavimą.

Kas yra „Formjacking“?

„Formacking“ išpuolis yra būdas elektroniniam kriminalistui perimti jūsų bankininkystės informaciją tiesiai iš el. Prekybos svetainės.

Pagal „Symantec“ interneto saugumo grėsmės ataskaita 2019 m, „formjackers“ kiekvieną mėnesį 2018 m. sudarė 4818 unikalių svetainių. Per metus „Symantec“ užblokavo daugiau nei 3,7 mln.

Be to, per paskutinius du 2018 m. Mėnesius buvo surengta daugiau kaip 1 mln. Iš šių bandymų pagrobti automobilius link lapkričio mėnesio juodojo penktadienio savaitgalio ir toliau iki gruodžio mėnesio kalėdinių pirkinių laikotarpio.

instagram viewer

Pamatę padidėjusį „MageCart“ stiliaus užkrėtimą ir pakartotinį užkrėtimą, sukčiai neturi atostogų.

- „natmchugh“ (@natmchugh) 2018 m. Gruodžio 21 d

Taigi, kaip veikia formų puolimas?

„Formjacking“ apima kenksmingo kodo įdėjimą į el. Prekybos teikėjo svetainę. Kenkėjiškas kodas pavogia tokią mokėjimo informaciją, kaip kortelės informacija, vardai ir kita asmeninė informacija, paprastai naudojama apsipirkinėjant internete. Pavogti duomenys siunčiami į serverį pakartotiniam naudojimui ar pardavimui, auka nežino, kad jų mokėjimo informacija yra pažeista.

Apskritai, tai atrodo pagrindinis. Tai toli gražu nėra. Vienas įsilaužėlis panaudojo 22 kodo eilutes, kad modifikuotų scenarijus, veikiančius „British Airways“ svetainėje. Užpuolikas pavogė 380 000 kreditinių kortelių duomenis, per kuriuos uždirbo daugiau nei 13 milijonų svarų sterlingų.

Jame slypi viliojimas. Naujausi aukšto lygio išpuoliai prieš „British Airways“, „TicketMaster UK“, „Newegg“, „Home Depot“ ir „Target“ turi bendrą vardiklį: „formajacking“.

Kas slypi „Formjacking“ atakose?

Apsaugos tyrinėtojams visada sunku nustatyti vieną užpuoliką, kai tiek daug unikalių svetainių tampa vienos atakos (ar bent jau atakos stiliaus) auka. Kaip ir kitų pastarojo meto elektroninių nusikaltimų bangų atveju, nėra vieno kaltininko. Vietoj to, didžioji dalis formavimo yra „Magecart“ grupės.

Šiandien nuspręsta eiti į RSA kabinas ir paklausti kiekvieno pardavėjo, naudojančio „Magecart“ jų rinkodaroje. Iki šiol atsakymai yra šie:

- Didelis mano organizacijos išpuolis
- Didelė nusikaltėlių iš Rusijos įmonė
- Labai sudėtingas išpuolis, kuriam man reikia produkto X

1 / n

- Y??? K??? ai?? (@ydklijnsma) 2019 m. Kovo 6 d

Pavadinimas kilo iš programinės įrangos, kurią įsilaužėlių grupės naudoja kenksmingo kodo įvedimui į pažeidžiamas elektroninės komercijos svetaines. Tai sukelia tam tikrą painiavą ir jūs dažnai matote, kad „Magecart“ naudojamas kaip atskiras subjektas apibūdinant įsilaužėlių grupę. Realybėje daugybė „Magecart“ įsilaužėlių grupių puola skirtingus taikinius, naudodamiesi skirtingais metodais.

Yonathanas Klijnsma, „RiskIQ“ grėsmių tyrėjas, stebi įvairias „Magecart“ grupes. Neseniai ataskaitoje, paskelbtoje su rizikos žvalgybos įmone „Flashpoint“, Klijnsma išsamiai apibūdina šešias atskiras grupes, naudojančias „Magecart“, veikiančias po tuo pačiu monikeriu, kad būtų išvengta aptikimo.

„Magecart“ pranešimas [PDF] tiria, kas daro kiekvieną iš pirmaujančių „Magecart“ grupių unikalią:

  • 1 ir 2 grupės: Atakuokite įvairiausius taikinius, naudokite automatizuotus įrankius, kad pažeistumėte ir nugruntuotumėte svetaines; gauna pajamų iš pavogtų duomenų, naudodamasi sudėtinga persiuntimo schema.
  • 3 grupė: Labai didelis taikinių tūris, valdo unikalų purkštuvą ir skimerį.
  • 4 grupė: Viena pažangiausių grupių susimaišo su aukos vietomis, naudodama daugybę užmaskavimo priemonių.
  • 5 grupė: Skirta trečiųjų šalių tiekėjams pažeisti kelis taikinius, nuorodos į „Ticketmaster“ išpuolį.
  • 6 grupė: Itin didelės vertės svetainių ir paslaugų atranka, įskaitant „British Airways“ ir „Newegg“ išpuolius.

Kaip matote, grupės yra šešėlinės ir naudojasi skirtinga technika. Be to, „Magecart“ grupės konkuruoja norėdamos sukurti veiksmingą asmens tapatybės vagystės produktą. Tikslai yra skirtingi, nes kai kurios grupės siekia didesnės vertės grąžos. Bet dažniausiai jie maudosi tame pačiame baseine. (Šios šešios nėra vienintelės „Magecart“ grupės ten.)

Išplėstinė 4 grupė

„RiskIQ“ tyrimo dokumente 4 grupė nurodoma kaip „pažengusi“. Ką tai reiškia „formjacking“ kontekste?

4 grupė bando įsilieti į svetainę, kurioje ji įsiskverbia. Užuot sukūrę papildomą netikėtą interneto srautą, kurį gali pastebėti tinklo administratorius ar saugos tyrinėtojas, 4 grupė bando generuoti „natūralų“ srautą. Tai daroma užregistruojant domenus, „imituojančius skelbimų teikėjus, analizės paslaugų teikėjus, aukos domenus ir visa kita“, padedantį jiems paslėpti regime.

Be to, 4 grupė reguliariai keičia skimerio išvaizdą, URL adresų išvaizdą, duomenų filtravimo serverius ir dar daugiau. Yra dar daugiau.

4 grupės skraidymo blokas pirmiausia patikrina patikrinimo URL, kuriame jis veikia. Tuomet, skirtingai nei visos kitos grupės, 4 grupės skimeriai pakeičia mokėjimo formą viena iš jų, įteikdami nuskaitymo formą tiesiogiai klientui (skaitykite: auka). Pakeitus formą „standartizuojami duomenys, kuriuos reikia ištraukti“, kad būtų lengviau pakartotinai naudoti ar parduoti.

„RiskIQ“ daro išvadą, kad „šie pažangūs metodai kartu su sudėtinga infrastruktūra rodo tikėtiną bankininkystės kenkėjiškų programų ekosistemos istoriją... bet jie perkėlė savo „MO“ („Modus Operandi“) link kortelių nugriebimo, nes tai yra daug lengviau nei bankų sukčiavimas “.

Kaip „Formjacking“ grupės uždirba pinigus?

Didžiąją laiko dalį pavogti įgaliojimai parduodami internetu Štai, kiek jūsų tapatybė galėtų būti verta „Dark Web“Nemalonu galvoti apie save kaip prekę, tačiau visa jūsų asmeninė informacija, pradedant vardu ir adresu, baigiant banko sąskaitos informacija, yra verta ko nors nusikaltėliams internete. Kiek tu verta? Skaityti daugiau . Yra daugybė tarptautinių ir rusų kalbų kartingo forumų su ilgais pavogtų kreditinių kortelių ir kitos bankininkystės informacijos sąrašais. Tai nėra neteisėtas ir sunkiai įsivaizduojamas svetainės tipas.

Kai kurios populiariausios karpymo svetainės pristatomos kaip profesionalus apranga - tobula anglų kalba, puiki gramatika, klientų aptarnavimas; viskas, ko tikitės iš teisėtos el. prekybos svetainės.

magecart formjacking riskq tyrimai

„Magecart“ grupės taip pat perparduoda savo prekių paketo pakuotes kitiems potencialiems elektroniniams nusikaltėliams. „Flashpoint“ analitikai Rusijos hakerių forume rado skelbimų apie pritaikytus formuojamų skimerių rinkinius. Rinkinių kaina svyruoja nuo maždaug 250 USD iki 5000 USD, atsižvelgiant į sudėtingumą, o pardavėjai demonstruoja unikalius kainų modelius.

Pvz., Vienas pardavėjas siūlė biudžetines profesionalių įrankių versijas, kuriose buvo matomos aukšto lygio formavimo atakos.

„Formjacking“ grupės taip pat siūlo prieigą prie pažeistų svetainių, kurių kainos prasideda nuo 0,50 USD, atsižvelgiant į svetainės reitingą, prieglobą ir kitus veiksnius. Tie patys „Flashpoint“ analitikai tame pačiame įsilaužimų forume aptiko apie 3000 pažeistų svetainių.

Be to, tame pačiame forume veikė „daugiau nei tuzinas pardavėjų ir šimtai pirkėjų“.

Kaip jūs galite sustabdyti formjacking ataką?

„Magecart“ formjacking skimeriai naudoja „JavaScript“, kad išnaudotų klientų mokėjimo formas. Naudojant naršyklės scenarijų blokatorių paprastai užtenka sustabdyti formų užpuolimą, kad pavogtų jūsų duomenis.

  • „Chrome“ vartotojai turėtų apsilankyti „ScriptSafe“
  • „Firefox“ vartotojai gali naudoti „NoScript“
  • Operos vartotojai gali naudoti „ScriptSafe“
  • „Safari“ vartotojai turėtų apsilankyti JSBlockeris

Pridėję vieną iš scenarijų blokuojančių plėtinių prie savo naršyklės, turėsite žymiai didesnę apsaugą nuo formjacking atakų. Vis dėlto jis nėra tobulas.

„RiskIQ“ ataskaitoje siūloma vengti mažesnių svetainių, kurių apsaugos lygis nėra toks pats kaip pagrindinių svetainių. „British Airways“, „Newegg“ ir „Ticketmaster“ išpuoliai rodo, kad patarimai nėra visiškai pagrįsti. Vis dėlto nenusiminkite. Mamos ir populiariosios elektroninės komercijos svetainė yra labiau linkusi į „Magecart“ formavimo scenarijų.

Kitas švelninimas yra „Malwarebytes Premium“. „Malwarebytes Premium“ siūlo realaus laiko sistemos nuskaitymą ir apsaugą naršyklėje. „Premium“ versija apsaugo nuo būtent tokio tipo išpuolių. Nesate tikri dėl naujovinimo? Čia yra penkios puikios priežastys atnaujinti „Malwarebytes Premium“ 5 priežastys, kodėl reikia atnaujinti „Malwarebytes Premium“: Taip, ji vertaNors nemokama „Malwarebytes“ versija yra nuostabi, „premium“ versija turi daugybę naudingų ir vertų funkcijų. Skaityti daugiau !

Gavinas yra MUO vyresnysis rašytojas. Jis taip pat yra „MakeUseOf“ šifravimo seserų svetainės „Blocks Decoded“ redaktorius ir SEO vadovas. Jis turi šiuolaikinio rašymo bakalaurą („Hons“) su skaitmeninio meno praktika, pagrobtu nuo Devono kalvų, taip pat turi daugiau nei dešimtmetį trukusio profesionalaus rašymo patirtį. Jis mėgaujasi daugybe arbatos.