Cybercriminelen zien de inkomsten uit ransomware en cryptojacking teruglopen en daarom hebben ze zich toegelegd op een nieuwe vorm van cybercriminaliteit: formjacking.

Bij formjacking wordt er kwaadaardige code aan de betaalpagina van de webwinkel toegevoegd die door de klant ingevoerde gegevens terugstuurt naar de criminelen.

Formjacking: dé nieuwe manier om snel rijk te worden voor cybercriminelen. Formjacking is een vorm van cybercrime, welke onder de titel Living of the Land valt. Hierbij wordt gebruik (lees misbruik) gemaakt van de gebruikelijk aanwezige tools binnen jouw website of netwerk.

Een voorbeeld van een LOTL aanval:

Formjacking-aanvallen zijn eenvoudig. Het is in wezen een virtuele manier van pinautomaat-skimming, waarbij cybercriminelen kwaadaardige codes in de websites van retailers injecteren om de betaalgegevens van klanten te stelen. Gemiddeld worden elke maand meer dan 4.800 unieke websites gesaboteerd met formjacking.

De snelle koersval van cryptomunten zoals Bitcoin en Monero hebben er voor gezorgd dat cybercriminelen nieuwe wegen zochten om inkomsten te blijven genereren. Waar kan dat beter dan via het bestelformulier van een webshop, waar jij je bankgegevens invoert. Nog voor jij op de 'Bestel' button hebt gedrukt, heeft men de informatie al binnen. Men hoeft niewt meer in te breken op een bank website; zij hebben jouw data al voor die tijd binnen.

De afgelopen jaren waren ransomware en cryptojacking de “go-to” methoden voor cybercriminelen die gemakkelijk geld willen verdienen. Echter werd er in 2018 een afname geconstateerd in de activiteit en de opbrengsten van deze methoden. Dit is voornamelijk het gevolg van de afnemende cryptocurrency-waarden en de toenemende verschuiving naar cloud- en mobiel computergebruik, waardoor aanvallen simpelweg minder effectief zijn.

Criminelen hebben het met name voorzien op creditcardgegevens, waarmee vervolgens wordt gefraudeerd. Formjacking bij webwinkels komt al jaren voor. Sinds 2016 weten criminelen op deze manier creditcardgegevens en andere data van online consumenten te stelen.

Werkwijze

Om de kwaadaardige code op de betaalpagina van de webwinkel te krijgen maken criminelen onder andere gebruik van third-party code die op een webwinkel draait.

Het gaat dan bijvoorbeeld om scripts die webwinkels op hun website plaatsen om met klanten te communiceren, voor het verzamelen van klantbeoordelingen gebruiken of voor gerichte advertenties inzetten. Criminelen weten deze scripts aan te passen en van kwaadaardige code te voorzien die ingevoerde gegevens onderschept. Hierdoor worden alle webwinkels getroffen die van het betreffende script gebruikmaken.

In andere gevallen wordt de webwinkel direct gehackt, waarna de kwaadaardige code aan de betaalpagina wordt toegevoegd. Dit gebeurt onder andere door standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in de webwinkelsoftware. Het gaat dan om bekende beveiligingslekken waarvoor beveiligingsupdates beschikbaar zijn, maar die niet door de beheerders zijn uitgerold. Symantec stelt dat elke maand 4800 unieke webwinkels het slachtoffer van formjacking worden. Het zijn met name kleine- en middelgrote retailers die volgens Symantec hiermee te maken krijgen.

Hoe werkt het

Meestal worden de gestolen inloggegevens online verkocht. Er zijn tal van internationale en Russisch-talige cardforums met lange lijsten met gestolen creditcardgegevens en andere bankgegevens, gepubliceerd via websites die er professioneel uitzien.

Enkele van de meest populaire card sites presenteren zichzelf in een professionele outfit, met perfecte Engelse grammatica en zelfs klantenservice; alles wat u normaliter verwacht van een legitieme e-commercesite.

Magecart-groepen -verderop meer over de naam Magecart- verkopen hun formjacking-pakketten ook aan andere potentiële cybercriminelen. Analisten van Flashpoint vonden advertenties voor op maat gemaakte formjacking skimmer kits op een Russisch hackingforum. De kits variëren in prijs van ongeveer $ 250 tot $ 5.000, afhankelijk van de complexiteit.

Formjacking-groepen bieden ook toegang tot gecompromitteerde websites, met prijzen die beginnen bij $ 0,50, afhankelijk van de ranking van de website, de hosting en andere factoren. Dezelfde Flashpoint-analisten hebben op hetzelfde hackingforum ongeveer 3000 inbreukmakende websites ontdekt die te koop waren. Verder waren er meer dan een dozijn verkopers en honderden kopers die op hetzelfde forum opereerden.

Herhaalde besmetting

Wie zitten achter formjackin

Het aanwijzen van een enkele aanvaller wanneer zoveel unieke websites het slachtoffer worden van een enkele aanval (of tenminste een aanval), is altijd moeilijk voor beveiligingsonderzoekers. Net als bij andere recente cybercriminaliteitsgolven, is er geen enkele dader.

In plaats daarvan komt de meerderheid van formjacking voort uit Magecart-groepen. De naam komt van de software die de hackgroepen gebruiken om kwaadwillende code in kwetsbare e-commercesites - gemaakt met de Magento software- te injecteren. Het veroorzaakt enige verwarring en je ziet Magecart vaak als een unieke entiteit gebruikt worden om een hackgroep te beschrijven. In werkelijkheid vallen verschillende Magecart-hackgroepen verschillende doelen aan met behulp van verschillende technieken.

De groep richtte zich voornamelijk op het hacken van Magento online winkels, maar het lijkt recentelijk een andere tactiek te hebben gekozen, en nu formjacking en supply chain-compromissen om betaalkaartgegevens te stelen.

6 bekende Magecart groepen

Momenteel zijn er zes verschillende groepen die Magecart misbruiken, die onder dezelfde naam werken om detectie te voorkomen.

• Groep 1 & 2: valt een groot aantal doelen aan; gebruikt geautomatiseerde tools om door beveiliging te breken en websites te skimmen
• Groep 3: Zeer hoog volume aan doelen, bedient een unieke injector en skimmer.
• Groep 4: Een van de meest geavanceerde groepen, mengt zich met slachtoffensites met behulp van een reeks obfuscatiehulpmiddelen.
• Groep 5: target op externe leveranciers om meerdere doelen aan te vallen
• Groep 6: selectieve aanvallen op uiterst waardevolle websites en services

De groepen schimmig en gebruiken ze verschillende technieken. Bovendien beconcureren de Magecart-groepen elkaar om een effectief product te creëeren voor het binnehalen van inloggegevens.

De doelen zijn verschillend, omdat sommige groepen specifiek gericht zijn op rendementen van hoge waarde. Maar voor het grootste deel zwemmen ze in hetzelfde zwembad. (Deze zes zijn niet de enige Magecart-groepen die er zijn.)

Groep 4

Groep 4 wordt door beveiligingsexpert aangeduid als 'geavanceerd'. Groep 4 probeert zich aan te passen aan de website die wordt geïnfiltreerd.

In plaats van extra onverwacht webverkeer te creëren dat een netwerkbeheerder of beveiligingsonderzoeker zou kunnen herkennen, probeert Group 4 'natuurlijk' verkeer te genereren. Het doet dit door domeinen te registreren die nabootsingen zijn van advertentieleveranciers, analyseproviders, slachtofferdomeinen enz, waardoor zij niet opvallen.

Daarnaast wijzigt Groep 4 regelmatig het uiterlijk van de geskimde websites, passen zij de weergaven van de URL's aan en meer. In tegenstelling tot de andere groepen vervangt Groep 4 het betalingsformulier door een eigen formulier en biedt dit geskimd formulier rechtstreeks aan de klant (lees: slachtoffer)aan.

Door het vervangen van het formulier standariseert Groep 4 de gegevens die moeten worden opgehaald, waardoor het gemakkelijker wordt om deze opnieuw te gebruiken of door te verkopen. Deze geavanceerde methoden in combinatie met de geavanceerde infrastructuur wijst op een waarschijnlijke geschiedenis met het gebruiken van bankmalware. Zije hebben hun MO [Modus Operandi] overgeschakeld op skimming ,omdat het een stuk eenvoudiger is dan bankfraude.

Formjacking voorkomen

Magecart formjacking skimmers gebruiken JavaScript om betalingsformulieren van klanten te exploiteren. Het gebruik van een browsergebaseerde scriptblokker is meestal voldoende om te voorkomen dat een formjacking-aanval uw gegevens steelt.

• Chrome-gebruikers moeten ScriptSafe uitchecken
• Firefox-gebruikers kunnen NoScript gebruiken
• Opera-gebruikers kunnen ScriptSafe gebruiken
• Safari-gebruikers moeten JSBlocker uitchecken

Zodra je een van de uitbreidingen voor scriptblokkering aan jouw browser toevoegt, heb je aanzienlijk meer bescherming tegen formjacking-aanvallen. Het is echter niet perfect.

Veilig Digitaal stelt voor om kleinere sites te vermijden. Die hebben over het algemeen niet hetzelfde beschermingsniveau als een grote belangrijke site. Recente aanvallen op British Airways, Newegg en Ticketmaster suggereren dat dit advies niet helemaal corrcect is. Laat het je er echter niet van weerhouden dit advies toch ter harte te nemen. Een simpele e-commerce website loopt nu eenmaal meer risico om een Magecart formjacking script te hosten.

Blijf waakzaam

Wanneer een site is geïnfecteerd met formjacking-code, zijn er geen signalen dat er iets mis is. U kunt niet zoeken naar de soorten aanwijzingen die minder geavanceerde malware weggeven, zoals valse URL's en niet-beveiligde webverbindingen (zoals die zonder 'https: //' in hun URL's). Dus uw beste strategie - tenzij u voorbereid bent om helemaal niet online te winkelen - is waakzaam te blijven en te letten op tekenen dat uw gegevens zijn aangetast.

Bekijk regelmatig uw creditcardafschriften zorgvuldig naar transacties die u niet herkent en waarschuw uw bank of creditcardorganisatie onmiddellijk als u verdachte activiteiten tegenkomt.

© 2020 Veilig DIgitaal