Кража данных из форм: большой рост атак на онлайн-ретейлеров 12.10.2018 17:16Symantec заблокировал почти четверть миллиона попыток кражи данных из форм с начала августа.
Symantec обнаружил недавно большой всплеск атак типа «формджекинг» или «кражи данных из форм». В прессе широко освещались случаи кражи данных из форм с веб-сайтов таких компаний, как Ticketmaster, British Airways, Feedify и Newegg. Известно, что за этими нападениями стоит группа под названием Magecart.
Формджекинг (formjacking, кража данных из форм) – это понятие, которое используется для описания использования вредоносного JavaScript кода, предназначенного для кражи данных банковской карты или другой информации из форм отправки платежей на страницах оплаты коммерческих сайтов. Формджекинг не является новым методом, но последние случаи отличаются размером, утонченностью и значительным ростом по сравнению с серединой августа 2018 года.
Технология Symantec Intrusions Prevention System проактивно защищает пользователей веб-сайтов от подобных атак.
Как работает формджекинг?
Когда клиент коммерческого сайта, введя информацию о карте на странице с формой платежа, щелкает мышью на кнопке «Отправить», вредоносный JavaScript код, внедренный киберпреступниками на сайте, собирает всю вводимую информацию: детали платежной карты, имя и адрес пользователя. Затем эта информация отправляется на сервер хакеров. Атакующий может использовать эту информацию для мошеннических действий с платежными картами или продать эти данные другим преступникам в даркнете.
"С 13 августа 13 Symantec заблокировал 248000 попыток формджекинга https://symc.ly/2xBEBVw"
Насколько велика эта кампания?
Эта вирусная кампания отличается большим охватом и устойчивым ростом, а в период с 13 по 20 сентября ее активность еще более выросла.
Согласно телеметрии Symantec, с 13 августа компания блокировала 248000 попыток кражи данных с форм – почти четверть миллиона случаев! При этом, по данным на 25 сентября, более трети случаев блокирования (36%) произошло в период с 13 по 20 сентября, что указывает на рост этой активности.
Рисунок 1. Блокирование формджекинга в период с 13 августа по 20 сентября 2018 года. С 13 по 20 сентября произошло 36% случаев блокирования.
Если мы сравним неделю с 13 по 20 сентября с аналогичной неделей в августе, то увидим, что количество блокированных Symantec случаев кражи данных с форм увеличилось более чем в два раза (на 117%), прыгнув с отметки в 41 000 до почти 88500 случаев.
С 13 августа Symantec ежедневно блокировал в среднем 6368 попыток формджекинга.
Данные, собранные Symantec, показывают, что любая компания, в любой точке мира, обрабатывающая платежи онлайн, является потенциальной жертвой формджекинга.
На какой бизнес направлены эти атаки?
Как видно из публикаций в прессе, группа Magecart нацелена на больших онлайновых ритейлеров, таких как Ticketmaster, British Airways и Newegg.
Чтобы понять, какой тип бизнеса является целью киберпреступников, эксперты Symantec исследовали 1000 случаев формджекинга, блокированных Symantec за период с 18 по 20 сентября.
Данные Symantec показали, что эти 1000 случаев затронули 57 отдельных веб-сайтов. Большинство из них были сайты Интернет-магазинов: от маленьких нишевых магазинов до крупных ритейловых операторов. Географически атаки охватывали как ритейлеров одежды в Австралии, так и поставщика аксессуаров для отдыха во Франции и продавца товаров для фитнеса в Италии. Среди других пострадавших ритейлеров есть и поставщик запчастей для автомобилей, и магазины, продающие товары для кухни и персональные подарки.
Хотя в заголовки статей попадают случаи компрометации крупных компаний вроде British Airways и Ticketmaster, данные Symantec показывают, что любая компания, в любой точке мира, обрабатывающая платежи онлайн, является потенциальной жертвой формджекинга.
Magecart – это кто?
Magecart – это группа хакеров, стоящая за последними случаями кражи данных из форм в British Airways, Ticketmaster, Feedify и Newegg. Эта группа действует, по крайней мере, с 2015 года. Она внедряет скиммеры карт на веб-сайтах для кражи данных платежных карт и другой конфиденциальной информации из форм онлайн платежей.
Обычно эта группа была нацелена, главным образом, на Интернет-магазины Magneto, но похоже, что недавно они изменили тактику. Теперь группа использует формджекинг и технику компрометации цепочки поставок для кражи данных платежных карт.
Как компрометируются веб-сайты?
Существует множество способов, как злоумышленники могут попытаться скомпрометировать веб-сайты. В случае с Ticketmaster члены группы Magecart использовали атаку на цепочку поставок, чтобы получить доступ к веб-сайту и изменить код на странице платежа.
Эксперты Symantec уже писали об атаках на цепочку поставок в ISTR 23 и предсказывали их учащение в 2018. Атаки на цепочки поставок позволяют атакующим получить доступ к большим компаниям через уязвимости в маленьких компаниях, которые используются для предоставления различных сервисов. Известная Petya/NotPetya кампания, например, распространялась через атаки на цепочки поставок. Подобные атаки представляют особый вызов, потому что становится не важно, как вы заботитесь о кибербезопасности вашего бизнеса, если ваши партнеры, имеющие доступ к вашей сети, могут быть инфицированы.
На всплеск краж данных из форм обратили внимание после случая с Ticketmaster, о котором объявили в июне. Преступники из Magecart внедрили вредоносный JavaScript код на вебсайт Ticketmaster после компрометации чат-бота технологической компании Inbenta, которая осуществляла поддержку пользователей на веб-сайтах Ticketmaster. После этого вредоносный код Magecart смог изменить JavaScript код на веб-сайтах Ticketmaster, перехватывать данные платежных карт от покупателей и пересылать их на свои серверы. Код мог находиться на веб-сайте Ticketmaster почти год, международных покупателей Ticketmaster предупредили о том, что они могли подвергнуться вирусной атаке, если покупали билеты в период между сентябрем 2017 и июнем 2018. Представители Inbenta сказали, что преступники из Magecart использовали несколько уязвимостей, чтобы воздействовать на front-end серверы и изменить код чат-бота.
После случая с Ticketmaster вскрылось, что Magecart часто атаковал сторонние компании, которые использовались на сайтах электронной коммерции для управления аналитикой, поддержки веб-сайта и предоставления других сервисов. Отчет экспертов Symantec в то же время говорит, что, по крайней мере, 800 сайтов электронной коммерции пострадали в той кампании. Опасность заключается в том, что если Magecart сможет скомпрометировать одного широко используемого стороннего поставщика, то одним движением тысячи сайтов могут оказаться потенциально инфицированными.
Feedify – один из таких сторонних сервисов, который используется многими веб-сайтами для отправки push-сообщений посетителям. Один исследователь угроз заявил 11 сентября, что некоторая часть JavaScript кода была модифицирована скриптом Magecart. Feedify удалила код, но в течение 24 часов код был снова модифицирован. Feedify снова удалила его, но код снова появился. Исследователи угроз соответственно предупреждали пользователей Feedify о необходимости прекратить пользоваться им до разрешения проблемы.
Атака группы Magecart на British Airways, которая, по словам авиакомпании, затронула 380000 пассажиров, была, как и в случае с Ticketmaster, наиболее известной атакой к тому времени. В случаях атак на British Airways и американского ритейлера электроники Newegg, преступники из группы Magecart предприняли шаги, чтобы избежать обнаружения, в том числе настроили поддельные веб-домены, похожие на веб-домены атакуемых компаний. Они даже купили в Comodo SSL-сертификаты, чтобы поддельные серверы были еще больше похожими на настоящие серверы этих компаний.
British Airways и Newegg были скомпрометированы похожим способом – небольшой кусок JavaScript коды был добавлен на страницу компаний; этот код отправлял информацию о платеже на серверы Magecart через поддельные домены. Атаки проводились примерно в одно время: код Magecart присутствовал на сайте British Airway с 21 августа по 5 сентября, на сайте Newegg – с 14 августа по 18 сентября.
В случаях с British Airways и Newegg неизвестен первоначальный вектор атаки, который позволил преступникам получить доступ к этим веб-сайтам.
Защита
Жертвы могут не осознавать, что они являются жертвами формджекинга, так как веб-сайты обычно продолжают функционировать нормальным способом, а преступники, подобные Magecart, обычно изощренны, незаметны и предпринимают действия, чтобы избежать обнаружения.
Клиенты Symantec защищены от кражи данных из форм.
Защита в сети
- Web Attack: Mass Injection Website 19
- Web Attack: Mass Injection Website 62
- Web Attack: Mass Injection Website 63
Защита файлов
Владельцам веб-сайтов следует знать об опасностях атак на цепочку поставок ПО, так как они стали вектором атаки в некоторых случаях формжекинга. Защищаться от атак на цепочку поставок ПО может оказаться сложным, но есть все-таки некоторые шаги, которые может предпринять владелец веб-сайта:
- Сначала тестируйте новые обновления, даже те, которые кажутся официальными, в небольшом тестовом окружении или песочнице, чтобы обнаружить любое подозрительное поведение.
- Мониторинг поведения любой деятельности в системе может также помочь идентифицировать нежелательное поведение и позволить блокировать подозрительное приложение до причинения ущерба.
Производителям программных продуктов следует убедиться, что они способны обнаружить нежелательные изменения в процедуре обновления программы, а также в продуктах, уже установленных на веб-сайте.
Владельцы веб-сайтов могут использовать политики безопасного контента с помощью Subresource Integrity tags (SRI) для блокировки внедренных скриптов сторонних производителей.