Hirdetés

2017 volt a ransomware éve. 2018 minden a kriptozsákolásról szól. 2019 alakul ki a formálási évnek.

A kriptovaluták - például a Bitcoin és a Monero - értékének drasztikus csökkenése azt jelenti, hogy a számítógépes bűnözők másutt keresnek csalárd nyereséget. Mi lenne jobb hely, ha ellopja banki adatait közvetlenül a termék megrendelőlapjáról, még mielőtt elküldné a benyújtást. Úgy van; nem betörnek a bankjába. A támadók felveszik az Ön adatait, mielőtt még ilyen messzire eljutnának.

Itt van, amit tudnod kell a formagyakorlásról.

Mi a Formjacking?

Az őrizetbe vett támadás egy módja annak, hogy a számítógépes bűnöző közvetlenül az e-kereskedelmi webhelyről elfogja banki adatait.

Szerint a A Symantec Internet Security fenyegetésről szóló 2019. évi jelentése, a formjackers 2018-ban minden hónapban 4818 egyedi webhelyet veszélyeztet. Az év folyamán a Symantec több mint 3,7 millió formázási kísérletet blokkolt.

Ezen túlmenően több mint egymillió ilyen formázási kísérletből érkezett 2018 utolsó két hónapjában - rámpolás egészen a novemberi fekete péntek hétvégéjéig, és egészen a decemberi karácsonyi vásárlási időszakig.

instagram viewer

Ha észreveszik a MageCart stílusú fertőzéseket és újfertőzéseket, a csalóknak nincs ünnep.

- natmchugh (@natmchugh) 2018. december 21

Szóval, hogyan működik a formaicking támadás?

A formjacking rosszindulatú kód beillesztését jelenti egy e-kereskedelmi szolgáltató webhelyére. A rosszindulatú kód ellopja a fizetési információkat, például a kártya adatait, a neveket és az online vásárlás során általában használt személyes információkat. A lopott adatokat egy szerverre küldik újrafelhasználás vagy értékesítés céljából, az áldozat nem tudja, hogy fizetési adatai sérültek.

Összességében alapvetőnek tűnik. Messze van tőle. Az egyik hacker 22 sornyi kódot használt a British Airways webhelyén futó szkriptek módosítására. A támadó 380 000 hitelkártya-adatot lopott el, több mint 13 millió font nettót vonva a folyamatba.

Ebben rejlik a csábítás. A British Airways, a TicketMaster UK, a Newegg, a Home Depot és a Target elleni közelmúltbeli magas szintű támadások közös nevezője: a formjacking.

Ki mögött a formaicking támadások?

Az egyetlen támadó pontos meghatározása, amikor olyan sok egyedi webhely válik egyetlen támadás (vagy legalábbis a támadás stílusa) áldozatává, a biztonsági kutatók számára mindig nehéz. Csakúgy, mint a közelmúltban a számítógépes bűnözés más hullámainál, nincs egyetlen elkövető. Ehelyett a formázás többsége a Magecart csoportokból származik.

Ma úgy döntött, hogy az RSA standjain keresi a Magecartot használó forgalmazóktól minden eladót, hogy mi volt az. A jelenlegi válaszok nyilvánvalóan a következők:

- Nagy támadás a szervezetemmel szemben
- Oroszországból származó bűnözők nagy vállalkozása
- Nagyon kifinomult támadás, amelynek szükségem van az X termékre

1 / n

- Igen??? K??? s?? (@Ydklijnsma) 2019. március 6

A név abból a szoftverből származik, amelyet a hackeléscsoportok arra használnak, hogy rosszindulatú kódot adjanak be a sebezhető e-kereskedelmi webhelyekre. Ez némi zavart okoz, és gyakran látja, hogy Magecart egyedülálló entitásként használja a hackelési csoport leírását. A valóságban számos Magecart-csapkodó csoport különböző célokat támad meg, különböző technikákkal.

Yonathan Klijnsma, a RiskIQ fenyegetéskutatója nyomon követi a különböző Magecart csoportokat. A Flashpoint kockázati hírszerző társasággal közzétett közelmúltbeli jelentésben Klijnsma hat különálló csoportot részletez Magecartot használva, akik ugyanazon moniker alatt működnek, hogy elkerüljék az észlelést.

Az Magecart jelentése [PDF] azt vizsgálja, mi teszi egyedivé a vezető Magecart csoportokat:

  • 1. és 2. csoport: Támadjon meg sokféle célt, automatizált eszközökkel használja fel a webhelyek megsértését és megsértését; pénzt keres ellopott adatokkal egy kifinomult újraküldési rendszer segítségével.
  • 3. csoport: Nagyon nagy mennyiségű célpont, egyedülálló befecskendezőt és skimmerrel működik.
  • 4. csoport: Az egyik legfejlettebb csoport az obfuszkációs eszközök széles választékával keveredik az áldozatok webhelyeivel.
  • 5. csoport: Harmadik fél szállítóit célozza meg több cél megsértése érdekében, hivatkozások a Ticketmaster támadásra.
  • 6. csoport: Rendkívül nagy értékű webhelyek és szolgáltatások szelektív célzása, beleértve a British Airways és a Newegg támadásokat.

Mint láthatja, a csoportok árnyékosak és különböző technikákat alkalmaznak. Ezenkívül a Magecart csoportok versenyeznek egy hatékony hitelesítő adatok ellopására szolgáló termék létrehozásában. A célok eltérőek, mivel egyes csoportok kifejezetten nagy értékű hozamot céloznak meg. De nagyrészt ugyanabban a medencében úsznak. (Ez a hat nem az egyetlen Magecart-csoport.)

4. haladó csoport

A RiskIQ kutatási dokumentum a 4. csoportot „előrehaladott” csoportként azonosítja. Mit jelent ez a formázás összefüggésében?

A 4. csoport megkísérel beleolvadni a beszivárgó webhelybe. Ahelyett, hogy további váratlan webes forgalmat hozna létre, amelyet egy hálózati rendszergazda vagy biztonsági kutató észlelhet, a 4. csoport megkísérel generálni „természetes” forgalmat. Ezt úgy teszi meg, hogy regisztrálja azokat a domaineket, amelyek „utánozzák a hirdetési szolgáltatókat, az elemzési szolgáltatókat, az áldozatok domainjeit és bármi mást”, és amelyek segítenek nekik a nyilvánosság elől rejtőzni.

Ezenkívül a 4. csoport rendszeresen megváltoztatja a szkimmer megjelenését, az URL-ek megjelenését, az adat kiszűrő kiszolgálókat és így tovább. Van még.

A 4. csoport formázó skimmerje először ellenőrzi a pénztár URL-jét, amelyen működik. Ezután, a többi csoporttól eltérően, a 4. csoporthoz tartozó korcsolyázó helyettesíti a fizetési űrlapot a sajátval, és közvetlenül a vevőnek kiszolgálja az oldalt (olvassuk el: áldozat). Az űrlap cseréje „szabványosítja az adatok kihúzását”, megkönnyítve az újrafelhasználást vagy az eladást.

A RiskIQ arra a következtetésre jut, hogy „ezek a fejlett módszerek és a kifinomult infrastruktúra kombinálva valószínűsítik a bank malware ökoszisztéma történetét... de átadták MO-t (Modus Operandi) a kártyaborítás felé, mert ez sokkal könnyebb, mint a banki csalás. "

Hogyan lehet pénzt keresni a Formjacking csoportokkal?

A legtöbb időt a a lopott hitelesítő adatokat online értékesítik Itt van, hogy mennyit érhet meg személyes személyisége a sötét webbenKényelmetlen úgy gondolni magadra, mint árucikkre, de minden személyes adata, a névtől és a címből a bankszámla adataiig, érdemes valamit az online bűnözők számára. Mennyit ér? Olvass tovább . Számos nemzetközi és orosz nyelvű kártyafórum létezik, ellopott hitelkártyák és egyéb banki információk hosszú listáival. Nem olyan tiltott, magányos típusú webhely, amelyet elképzelhet.

A legnépszerűbb kárpithelyek professzionális ruházatként mutatják be magukat - tökéletes angol nyelv, tökéletes nyelvtan, ügyfélszolgálat; mindent, amit elvár egy legitim e-kereskedelmi webhelytől.

magecart formjacking kockq kutatás

A Magecart csoportok is tovább értékesítik formázó csomagjaikat más leendő számítógépes bűnözők számára. A Flashpoint elemzői egy orosz hackelési fórumon találtak testreszabott formázó skimmerkészletek hirdetéseit. A készletek komplexitásától függően körülbelül 250 USD és 5000 USD között lehetnek, az eladók egyedi árazási modelleket mutatnak be.

Például egy gyártó professzionális eszközök költségvetési verzióit kínálta, látva a magas szintű formaicking támadásokat.

A formjacking csoportok hozzáférést kínálnak a veszélyeztetett webhelyekhez is, az árak 0,50 dollártól kezdve, a webhely rangsorolásától, a tárhelytől és más tényezőktől függően. Ugyanez a Flashpoint elemző kb. 3000 megsértett webhelyet fedezett fel ugyanazon a hackelési fórumon.

Ezenkívül ugyanazon a fórumon „több mint tucat eladó és több száz vásárló működött”.

Hogyan lehet megállítani a formjacking támadást?

A Magecart formjacking skimmers a JavaScriptet használja az ügyfelek fizetési nyomtatványainak kihasználására. Általában egy böngésző alapú szkript-blokkoló használata elegendő az adatok eltulajdonítását célzó formjacking támadás megakadályozásához.

  • A Chrome-felhasználóknak ellenőrizniük kell ScriptSafe
  • A Firefox felhasználók használhatják NoScript
  • Az Opera felhasználók használhatják ScriptSafe
  • A Safari felhasználóknak ellenőrizniük kell JSBlocker

Miután hozzáadta az egyik szkript-blokkoló kiterjesztést a böngészőjéhez, jelentősen nagyobb védelmet fog élvezni a formjacking támadások ellen. De ez nem tökéletes.

A RiskIQ jelentés azt javasolja, hogy kerüljünk olyan kisebb telephelyeket, amelyek nem rendelkeznek azonos szintű védelemmel, mint a fő helyszínek. A British Airways, a Newegg és a Ticketmaster elleni támadások azt sugallják, hogy a tanácsok nem teljesen megalapozottak. De ne engedje le. Az anyák és a pop e-kereskedelmi webhelyek nagyobb valószínűséggel adnak egy Magecart formjacking szkriptet.

Egy másik enyhítés a Malwarebytes Premium. A Malwarebytes Premium valós idejű rendszerkeresést és böngészőbeni védelmet kínál. A prémium verzió pontosan védi az ilyen típusú támadásokat. Biztos benne a frissítésről? Itt vannak öt kiváló ok a Malwarebytes Premium-ra való frissítéshez 5 ok a Malwarebytes Premium verzióra való frissítésre: Igen, megériNoha a Malwarebytes ingyenes verziója fantasztikus, a prémium verziónak sok-sok hasznos és érdemes funkciója van. Olvass tovább !

Gavin a MUO vezető írója. Ezenkívül a MakeUseOf kripto-központú testvére webhelyének, a Blocks Decoded szerkesztője és SEO igazgatója. Van egy BA (Hons) kortárs írása digitális művészeti gyakorlatokkal, amelyeket Devon dombjaiból ölelnek fel, valamint több mint egy évtizedes szakmai tapasztalattal rendelkezik. Nagyon sok teát fogyaszt.