Qu'est-ce que le détournement de formulaire et comment pouvez-vous l'éviter?

Publicité

2017 a été l'année du ransomware. 2018 était une affaire de cryptojacking. 2019 s'annonce comme l'année du détournement de forme.

Les baisses drastiques de la valeur des crypto-monnaies telles que Bitcoin et Monero signifient que les cybercriminels cherchent ailleurs des profits frauduleux. Quel meilleur endroit que de voler vos informations bancaires directement à partir du formulaire de commande de produit, avant même d'appuyer sur Soumettre. C'est vrai; ils ne s'introduisent pas dans votre banque. Les attaquants lèvent vos données avant même qu'elles n'atteignent ce niveau.

Voici ce que vous devez savoir sur le détournement de formulaire.

Qu'est-ce que le formjacking?

Une attaque par détournement de formulaire est un moyen pour un cybercriminel d'intercepter vos informations bancaires directement depuis un site de commerce électronique.

Selon le Rapport sur les menaces Symantec Internet Security 2019, formjackers a compromis 4818 sites Web uniques chaque mois en 2018. Au cours de l'année, Symantec a bloqué plus de 3,7 millions de tentatives de détournement de formulaire.

De plus, plus d'un million de ces tentatives de détournement de formulaires ont eu lieu au cours des deux derniers mois de 2018 - vers le week-end du vendredi noir de novembre, et pendant toute la période de magasinage de Noël de décembre.

En voyant une légère augmentation des infections et réinfections de style MageCart, les fraudeurs n'ont pas de vacances.

- natmchugh (@natmchugh) 21 décembre 2018

Alors, comment fonctionne une attaque par détournement de formulaire?

Le piratage de formulaire consiste à insérer du code malveillant sur le site Web d'un fournisseur de commerce électronique. Le code malveillant vole des informations de paiement telles que les détails de la carte, les noms et autres informations personnelles couramment utilisées lors de vos achats en ligne. Les données volées sont envoyées à un serveur pour réutilisation ou vente, la victime ignorant que ses informations de paiement sont compromises.

Dans l'ensemble, cela semble basique. C'est loin de là. Un pirate informatique a utilisé 22 lignes de code pour modifier des scripts exécutés sur le site de British Airways. L'attaquant a volé 380 000 détails de carte de crédit, récupérant plus de 13 millions de livres sterling dans le processus.

C'est là que réside l'attrait. Les récentes attaques de grande envergure contre British Airways, TicketMaster UK, Newegg, Home Depot et Target partagent un dénominateur commun: le détournement de formulaire.

Qui se cache derrière les attaques par formjacking?

Identifier un seul attaquant alors que tant de sites Web uniques sont victimes d'une seule attaque (ou du moins d'un style d'attaque) est toujours difficile pour les chercheurs en sécurité. Comme pour les autres vagues récentes de cybercriminalité, il n'y a pas d'agresseur unique. Au lieu de cela, la majorité des détournements de formulaires proviennent de groupes Magecart.

A décidé de passer par les stands RSA aujourd'hui pour demander à tous les fournisseurs utilisant Magecart dans leur marketing de quoi il s'agissait. Les réponses à ce jour sont apparemment:

- Une attaque majeure contre mon organisation
- Une grande entreprise de criminels de Russie
- Une attaque hautement sophistiquée pour laquelle j'ai besoin du produit X

1 / n

- Y??? K??? s?? (@ydklijnsma) 6 mars 2019

Le nom provient du logiciel que les groupes de piratage utilisent pour injecter du code malveillant dans les sites de commerce électronique vulnérables. Cela provoque une certaine confusion, et vous voyez souvent Magecart utilisé comme une entité singulière pour décrire un groupe de piratage. En réalité, de nombreux groupes de piratage Magecart attaquent différentes cibles, en utilisant différentes techniques.

Yonathan Klijnsma, chercheur sur les menaces chez RiskIQ, suit les différents groupes Magecart. Dans un récent rapport publié avec la société de renseignement sur les risques Flashpoint, Klijnsma détaille six groupes distincts utilisant Magecart, opérant sous le même surnom pour éviter la détection.

le Rapport Inside Magecart [PDF] explore ce qui rend chacun des principaux groupes Magecart unique:

• Groupes 1 & 2: Attaquez un large éventail de cibles, utilisez des outils automatisés pour percer et survoler les sites; monétise les données volées à l'aide d'un schéma de réexpédition sophistiqué.
• Groupe 3: Très grand volume de cibles, exploite un injecteur et un skimmer uniques.
• Groupe 4: L'un des groupes les plus avancés s'intègre aux sites des victimes à l'aide d'une gamme d'outils d'obscurcissement.
• Groupe 5: Cible les fournisseurs tiers de violer plusieurs cibles, liens vers l'attaque Ticketmaster.
• Groupe 6: Ciblage sélectif de sites Web et de services de très grande valeur, notamment les attaques de British Airways et de Newegg.

Comme vous pouvez le voir, les groupes sont sombres et utilisent différentes techniques. En outre, les groupes Magecart sont en concurrence pour créer un produit de vol d'informations d'identification efficace. Les objectifs sont différents, car certains groupes visent spécifiquement des rendements de grande valeur. Mais pour la plupart, ils nagent dans la même piscine. (Ces six ne sont pas les seuls groupes Magecart là-bas.)

Groupe avancé 4

Le document de recherche RiskIQ identifie le groupe 4 comme «avancé». Qu'est-ce que cela signifie dans le contexte du détournement de formulaire?

Le groupe 4 tente de se fondre dans le site Web qu'il infiltre. Au lieu de créer un trafic Web supplémentaire inattendu qu'un administrateur réseau ou un chercheur en sécurité pourrait détecter, le groupe 4 essaie de générer un trafic «naturel». Pour ce faire, il enregistre des domaines «imitant les fournisseurs de publicités, les fournisseurs d'analyses, les domaines des victimes et toute autre chose» qui les aident à se cacher à la vue.

De plus, le groupe 4 modifie régulièrement l'apparence de son skimmer, l'apparence de ses URL, les serveurs d'exfiltration de données, etc. Il y a plus.

Le skimmer de formjacking du groupe 4 valide d'abord l'URL de paiement sur laquelle il fonctionne. Ensuite, contrairement à tous les autres groupes, l'écumoire du groupe 4 remplace le formulaire de paiement par l'un des leurs, en signifiant le formulaire d'écrémage directement au client (lire: victime). Le remplacement du formulaire «standardise les données à extraire», ce qui facilite leur réutilisation ou leur vente.

RiskIQ conclut que «ces méthodes avancées combinées à une infrastructure sophistiquée indiquent une histoire probable dans l'écosystème des logiciels malveillants bancaires... mais ils ont transféré leur MO [Modus Operandi] vers l'écrémage des cartes car c'est beaucoup plus facile que la fraude bancaire. »

Comment les groupes Formjacking gagnent-ils de l'argent?

La plupart du temps, les identifiants volés sont vendus en ligne Voici combien votre identité pourrait valoir sur le Dark WebIl est inconfortable de vous considérer comme une marchandise, mais toutes vos informations personnelles, du nom et de l'adresse aux détails du compte bancaire, valent quelque chose pour les criminels en ligne. Combien valez-vous? Lire la suite . Il existe de nombreux forums internationaux et en russe sur les cartes avec de longues listes de cartes de crédit volées et d'autres informations bancaires. Ce n'est pas le type de site illicite et minable que vous pourriez imaginer.

Certains des sites de cardage les plus populaires se présentent comme une tenue professionnelle: anglais parfait, grammaire parfaite, service client; tout ce que vous attendez d'un site de commerce électronique légitime.

Les groupes Magecart revendent également leurs packages de piratage de formulaires à d'autres cybercriminels potentiels. Les analystes de Flashpoint ont trouvé des publicités pour des kits d'écumeurs de formjacking personnalisés sur un forum de piratage russe. Les kits varient d'environ 250 $ à 5 000 $ selon la complexité, les fournisseurs affichant des modèles de tarification uniques.

Par exemple, un fournisseur proposait des versions économiques d'outils professionnels vu les attaques de détournement de formulaires très médiatisées.

Les groupes de formjacking offrent également un accès à des sites Web compromis, avec des prix commençant aussi bas que 0,50 $, selon le classement du site Web, l'hébergement et d'autres facteurs. Les mêmes analystes de Flashpoint ont découvert environ 3 000 sites Web piratés en vente sur le même forum de piratage.

En outre, «plus d'une douzaine de vendeurs et des centaines d'acheteurs» opéraient sur le même forum.

Comment pouvez-vous arrêter une attaque de détournement de formulaire?

Les skimmers Magecart formjacking utilisent JavaScript pour exploiter les formulaires de paiement des clients. L'utilisation d'un bloqueur de scripts basé sur un navigateur est généralement suffisante pour arrêter une attaque de piratage de formulaire volant vos données.

• Les utilisateurs de Chrome devraient vérifier ScriptSafe
• Les utilisateurs de Firefox peuvent utiliser NoScript
• Les utilisateurs d'Opera peuvent utiliser ScriptSafe
• Les utilisateurs de Safari devraient vérifier JSBlocker

Une fois que vous avez ajouté l'une des extensions de blocage de script à votre navigateur, vous bénéficierez d'une protection nettement plus importante contre les attaques par détournement de formulaire. Mais ce n'est pas parfait.

Le rapport RiskIQ suggère d'éviter les sites plus petits qui n'ont pas le même niveau de protection qu'un site majeur. Les attaques contre British Airways, Newegg et Ticketmaster suggèrent que les conseils ne sont pas entièrement valables. Ne l'escomptez pas cependant. Un site de commerce électronique maman et pop est plus susceptible d'héberger un script Magecart formjacking.

Une autre atténuation est Malwarebytes Premium. Malwarebytes Premium offre une analyse du système en temps réel et une protection dans le navigateur. La version Premium protège précisément contre ce type d'attaque. Vous n'êtes pas sûr de la mise à niveau? Voici cinq excellentes raisons de passer à Malwarebytes Premium 5 raisons de passer à Malwarebytes Premium: Oui, ça vaut le coupAlors que la version gratuite de Malwarebytes est impressionnante, la version premium a un tas de fonctionnalités utiles et utiles. Lire la suite !