Formjacking – veliki porast napada na online prodavnice

Pomoću malicioznog JavaScript koda kradu informacije sa kreditnih kartica iz formi za plaćanje!

Formjacking – veliki porast napada na online prodavnice

Symantec je blokirao skoro 250.000 pokušaja formjacking napada od sredine avgusta. Na meti hakerske grupe Magecart su i poznate kompanije poput Ticketmaster, British Airways, Feedify i Newegg.

Formjacking je napad u kome se pomoću malicioznog JavaScript koda kradu informacije sa kreditnih kartica i druge informacije iz formi za plaćanje na web stranicama online prodavnica. U pitanju je od ranije poznata tehnika koja se masovno primenjuje od sredine avgusta i koja ima visok nivo sofisticiranosti.

Symantecova IPS tehnologija proaktivno štiti korisnike od formjacking napada.

Kako formjacking funkcioniše?

Kada kupac na sajtu online prodavnice nakon unošenja podataka u formi za plaćanje klikne na „potvrdi“, maliciozni JS kod koji su hakeri ubacili prikuplja sve unesene informacije (ime, prezime, adresu, detalje sa platne kartice itd.). Ove infomacije se zatim šalju na server napadača koji ih mogu zloupotrebiti za razne vrste prevara sa platnim karticama ili ih mogu prodati drugim kriminalcima na dark webu.

Formjacking kampanja ima značajan obim, a od sredine septembra je stalno u porastu. Od sredine avgusta, Symantec u proseku blokira više od 6.300 pokušaja formjackinga dnevno. Podaci pokazuju da je svaki sajt na svetu na kome se vrše online plaćanja potencijalna žrtva formjackinga.

Ko su Magecart hakeri?

U pitanju je hakerska grupa koja postoji od 2015. (možda i od ranije). Odgovorni su za formjacking napade na kompanije Ticketmaster, British Airways, Feedify i Newegg. Fokus im je najpre bio na hakovanju online prodavnica sa Magento platformom, ali od skoro su promenili taktiku i izvode formjacking napade i napade na logističku mrežu za krađu informacija sa platnih kartica i drugih osetljivih informacija sa online formi za plaćanje.

Kako izgleda kompromitovanje sajtova?

Postoji više načina za kompromitovanje sajtova. U slučaju formjacking napada na kompaniju Ticketmaster, Magecart grupa je izvršila napad na logističku mrežu kako bi dobili pristup sajtu i promenili kod na stranici za plaćanje. Suština napada na logističku mrežu je da se kompromitovanjem najslabije karike ugroze ostali članovi u logističkom lancu. Drugim rečima, da bi napadači dobili pristup velikoj kompaniji, ne moraju da hakuju nju, već mogu da eksploatišu ranjivosti male kompanije koja joj pruža različite usluge, odnosno ima pristup njenoj mreži. To znači da i pored najvišeg nivoa sajber bezbednosti, kompanija može biti kompromitovana ukoliko napadači kompromituju kompaniju sa kojom ona sarađuje (dobavljač, kupac, izvođač itd.) i koja ima pristup njenoj mreži.

U napadu na Ticketmaster, napadači su ubacili maliciozni JS kod nakon što su kompromitovali chatbot firme Inbenta koji se koristi za korisničku podršku na Ticketmaster sajtovima. Tako su došli do osetljivih podataka kupaca na Ticketmaster sajtu. Vrlo je verovatno da se maliciozni kod nalazio na sajtu skoro godinu dana. Magecart hakeri su eksploatisali brojne ranjivosti kako bi došli do front-end servera i izmenili chatbot kod.

Kasnije je otkriveno da su hakeri napadali veliki broj kompanija koje sarađuju sa online prodavnicama – firme koje obavljaju analitiku, podršku i druge usluge. Problem se multiplikuje kada hakeri kompromituju velikog third-party dobavljača koji sarađuje sa velikim brojem kompanija, jer to znači da se kompromitovanjem sajta jedne kompanije mogu potencijalno kompromitovati hiljade sajtova drugih kompanija. Jedna od takvih third-party kompanija je Feedify čije usluge mnogi sajtovi koriste za slanje push notifikacija posetiocima. Magecart napadači su u septembru u nekoliko navrata modifikovali JS kod i pored toga što ga je Feedify svaki put brisao. Kasnije su korisnici upozoreni da ne koriste Feedify dok se problem ne reši.

U napadu na British Airways pogođeno je 380.000 putnika. Napadači su (kao i u slučaju napada na maloprodavca Newegg) preduzeli određene korake da izbegnu detekciju, kao što je maskiranje domena da izgledaju kao regularni. Kako bi bili uverljiviji, kupili su i Comodo SSL sertifikat. Obe kompanije su kompromitovane na sličan način, uz minimalne izmene JS koda ubačenog na sajtove kako bi se prikupili osetljivi podaci. Inicijalni vektor infekcije nije poznat.

Zaštita

Žrtve često nisu svesne da su im sajtovi kompromitovani, jer nastavljaju da rade normalno, a sofisticirani i pritajeni Magecart napadači preduzimaju mere za izbegavanje detekcije. Korisnici Symantec proizvoda su zaštićeni od formjacking napada.

Vlasnici sajtova moraju da budu svesni opasnosti napada na logističku mrežu, koje nije jednostavno sprečiti. Međutim, postoje koraci koji se mogu preduzeti:

  • Testirajte nova ažuriranja, čak i ona koja su naizgled legitimna, u malim test okruženjima ili sandboxu pre nego što ih primenite kako bi detektovali sumnjivo ponašanje.
  • Monitoring ponašanja svih aktivnosti u sistemu može pomoći u identifikaciji neželjenih šablona i blokiranju sumnjivih aplikacija pre nego što dođe do štete.

Proizvođači softverskih paketa moraju da budu u stanju da detektuju neželjene promene u procesu ažuriranja softvera i na svojim sajtovima.

Vlasnici sajtova mogu da primene polise za bezbednost sadržaja pomoću Subresource Integrity tagova (SRI) kako bi zaključali sve integrisane third-party skripte.

Izvor: Symantec Blog