Apa itu Formjacking dan Bagaimana Cara Menghindarinya?

Iklan

2017 adalah tahun ransomware. 2018 adalah tentang cryptojacking. 2019 dibentuk sebagai tahun formjacking.

Penurunan drastis dalam nilai cryptocurrency seperti Bitcoin dan Monero berarti penjahat dunia maya mencari keuntungan penipuan di tempat lain. Tempat apa yang lebih baik daripada mencuri informasi perbankan Anda langsung dari formulir pesanan produk, bahkan sebelum Anda menekan kirim. Betul; mereka tidak membobol bank Anda. Penyerang mengangkat data Anda sebelum sampai sejauh itu.

Inilah yang perlu Anda ketahui tentang formjacking.

Apa itu Formjacking?

Serangan pembajakan adalah cara bagi penjahat cyber untuk mencegat informasi perbankan Anda langsung dari situs e-commerce.

Menurut Laporan Ancaman Keamanan Internet Symantec 2019, formjackers merusak 4.818 situs web unik setiap bulan pada tahun 2018. Selama tahun ini, Symantec memblokir lebih dari 3,7 juta upaya pembajakan.

Selain itu, lebih dari 1 juta upaya pembajakan itu terjadi selama dua bulan terakhir tahun 2018 — ramping hingga akhir pekan Black Friday November, dan seterusnya sepanjang periode belanja Natal Desember.

Melihat uptick pada infeksi gaya MageCart dan reinfections melakukan scammers tidak memiliki hari libur.

- natmchugh (@natmchugh) 21 Desember 2018

Jadi, bagaimana cara kerja serangan pembajakan?

Formjacking melibatkan memasukkan kode berbahaya ke situs web penyedia e-commerce. Kode berbahaya mencuri informasi pembayaran seperti detail kartu, nama, dan informasi pribadi lainnya yang biasa digunakan saat berbelanja online. Data yang dicuri dikirim ke server untuk digunakan kembali atau dijual, korban tidak menyadari bahwa informasi pembayaran mereka dikompromikan.

Semua dalam semua, tampaknya dasar. Itu jauh dari itu. Seorang hacker menggunakan 22 baris kode untuk memodifikasi skrip yang berjalan di situs British Airways. Penyerang mencuri 380.000 detail kartu kredit, menjaring lebih dari £ 13 juta dalam prosesnya.

Di situlah letak daya pikatnya. Serangan tingkat tinggi baru-baru ini terhadap British Airways, TicketMaster UK, Newegg, Home Depot, dan Target memiliki penyebut yang sama: formjacking.

Siapa di Balik Serangan Formjacking?

Menunjukkan dengan tepat seorang penyerang tunggal ketika begitu banyak situs web unik menjadi korban serangan tunggal (atau setidaknya, gaya serangan) selalu sulit bagi para peneliti keamanan. Seperti gelombang cybercrime terbaru lainnya, tidak ada pelaku tunggal. Sebaliknya, sebagian besar formjacking berasal dari kelompok Magecart.

Memutuskan untuk pergi oleh stan RSA hari ini untuk meminta setiap vendor menggunakan Magecart dalam pemasaran mereka apa itu. Jawaban sampai saat ini rupanya adalah:

- Serangan besar pada organisasi saya
- Perusahaan penjahat besar dari Rusia
- Serangan yang sangat canggih yang saya butuhkan produk X

1 / n

- Y??? K??? s?? (@ydklijnsma) 6 Maret 2019

Nama ini berasal dari perangkat lunak yang digunakan kelompok peretas untuk menyuntikkan kode berbahaya ke situs-situs e-commerce yang rentan. Itu memang menyebabkan kebingungan, dan Anda sering melihat Magecart digunakan sebagai entitas tunggal untuk menggambarkan grup peretasan. Pada kenyataannya, banyak kelompok peretas Magecart menyerang target yang berbeda, menggunakan teknik yang berbeda.

Yonathan Klijnsma, seorang peneliti ancaman di RiskIQ, melacak berbagai kelompok Magecart. Dalam sebuah laporan baru-baru ini yang diterbitkan oleh firma intelijen risiko Flashpoint, Klijnsma merinci enam kelompok berbeda menggunakan Magecart, yang beroperasi di bawah moniker yang sama untuk menghindari deteksi.

Itu Di dalam laporan Magecart [PDF] mengeksplorasi apa yang membuat masing-masing grup Magecart terkemuka unik:

• Grup 1 & 2: Serang berbagai target, gunakan alat otomatis untuk menembus dan menelusuri situs; memonetisasi data curian menggunakan skema reshipping yang canggih.
• Grup 3: Volume target sangat tinggi, mengoperasikan injektor dan skimmer unik.
• Grup 4: Salah satu kelompok paling maju, menyatu dengan situs korban menggunakan berbagai alat kebingungan.
• Grup 5: Menargetkan pemasok pihak ketiga untuk melanggar beberapa target, tautan ke serangan Ticketmaster.
• Grup 6: Penargetan selektif dari situs web dan layanan bernilai sangat tinggi, termasuk serangan British Airways dan Newegg.

Seperti yang Anda lihat, grup-grup itu bayangan dan menggunakan teknik yang berbeda. Selanjutnya, kelompok Magecart berlomba untuk menciptakan produk pencurian kredensial yang efektif. Targetnya berbeda, karena beberapa kelompok secara khusus bertujuan untuk pengembalian bernilai tinggi. Tetapi sebagian besar, mereka berenang di kolam yang sama. (Enam ini bukan satu-satunya kelompok Magecart di luar sana.)

Grup Lanjutan 4

Makalah penelitian RiskIQ mengidentifikasi Grup 4 sebagai "lanjutan." Apa artinya itu dalam konteks formjacking?

Grup 4 berupaya berbaur dengan situs web yang disusupinya. Alih-alih menciptakan lalu lintas web tak terduga tambahan yang mungkin ditemukan oleh administrator jaringan atau peneliti keamanan, Grup 4 mencoba untuk menghasilkan lalu lintas "alami". Ini dilakukan dengan mendaftarkan domain “meniru penyedia iklan, penyedia analitik, domain korban, dan apa pun” yang membantu mereka bersembunyi di depan mata.

Selain itu, Grup 4 secara teratur mengubah tampilan skimmer-nya, bagaimana URL-nya muncul, server-server pengelupasan data, dan banyak lagi. Masih ada lagi.

Skimmer pemformatan Grup 4 pertama memvalidasi URL checkout yang berfungsi. Kemudian, tidak seperti semua grup lain, skimmer Grup 4 menggantikan formulir pembayaran dengan salah satu milik mereka, yang menyajikan formulir skimming langsung ke pelanggan (baca: korban). Mengganti formulir "membakukan data untuk ditarik keluar," membuatnya lebih mudah untuk digunakan kembali atau dijual.

RiskIQ menyimpulkan bahwa “metode canggih ini yang dikombinasikan dengan infrastruktur canggih menunjukkan kemungkinan sejarah dalam ekosistem malware perbankan... tetapi mereka memindahkan MO [Modus Operandi] mereka ke skimming kartu karena jauh lebih mudah daripada penipuan perbankan. ”

Bagaimana Formjacking Groups Menghasilkan Uang?

Sebagian besar waktu kredensial curian dijual secara online Inilah Berapa Banyak Identitas Anda yang Bernilai di Web GelapTidak nyaman untuk menganggap diri Anda sebagai komoditas, tetapi semua detail pribadi Anda, dari nama dan alamat hingga detail rekening bank, bernilai bagi penjahat daring. Berapa nilai Anda? Baca lebih banyak . Ada banyak forum carding internasional dan bahasa Rusia dengan daftar panjang kartu kredit curian dan informasi perbankan lainnya. Itu bukan jenis situs terlarang dan kumuh yang mungkin Anda bayangkan.

Beberapa situs carding paling populer menampilkan diri mereka sebagai pakaian profesional — bahasa Inggris yang sempurna, tata bahasa yang sempurna, layanan pelanggan; semua yang Anda harapkan dari situs e-commerce yang sah.

Kelompok Magecart juga menjual kembali paket pembajakan mereka ke calon penjahat cyber lainnya. Analis untuk Flashpoint menemukan iklan untuk kit skimmer formjacking yang disesuaikan pada forum peretasan Rusia. Paket berkisar dari sekitar $ 250 hingga $ 5.000 tergantung pada kompleksitas, dengan vendor menampilkan model harga yang unik.

Misalnya, satu vendor menawarkan versi anggaran dari alat profesional yang melihat serangan pembajakan profil tinggi.

Grup Formjacking juga menawarkan akses ke situs web yang dikompromikan, dengan harga mulai dari $ 0,50, tergantung pada peringkat situs web, hosting, dan faktor lainnya. Analis Flashpoint yang sama menemukan sekitar 3.000 situs web yang dilanggar dijual di forum peretasan yang sama.

Selain itu, ada "lebih dari selusin penjual dan ratusan pembeli" yang beroperasi di forum yang sama.

Bagaimana Cara Menghentikan Serangan Pembajakan?

Skimmers formjacking magecart menggunakan JavaScript untuk mengeksploitasi formulir pembayaran pelanggan. Menggunakan pemblokir skrip berbasis browser biasanya cukup untuk menghentikan serangan formjacking yang mencuri data Anda.

• Pengguna Chrome harus memeriksa ScriptSafe
• Pengguna Firefox dapat menggunakan NoScript
• Pengguna Opera dapat menggunakan ScriptSafe
• Pengguna Safari harus memeriksa JSBlocker

Setelah Anda menambahkan salah satu ekstensi skrip pemblokiran ke browser Anda, Anda akan memiliki perlindungan yang lebih signifikan terhadap serangan formjacking. Itu tidak sempurna.

Laporan RiskIQ menyarankan menghindari situs yang lebih kecil yang tidak memiliki tingkat perlindungan yang sama dengan situs utama. Serangan terhadap British Airways, Newegg, dan Ticketmaster menunjukkan bahwa saran tidak sepenuhnya masuk akal. Tapi jangan diskon. Situs e-commerce ibu dan pop lebih cenderung meng-host skrip pembajakan Magecart.

Mitigasi lain adalah Malwarebytes Premium. Malwarebytes Premium menawarkan pemindaian sistem waktu nyata dan perlindungan dalam peramban. Versi Premium melindungi terhadap serangan semacam ini. Tidak yakin tentang peningkatan? Di sini adalah lima alasan bagus untuk meningkatkan ke Malwarebytes Premium 5 Alasan untuk Memutakhirkan ke Malwarebytes Premium: Ya, It's Worth ItSementara versi gratis Malwarebytes mengagumkan, versi premium memiliki banyak fitur yang bermanfaat dan bermanfaat. Baca lebih banyak !