2017 a marqué l'essor des ransomwares. 2018 a été dominée par le cryptojacking. 2019 s'annonce comme l'année du formjacking.
La chute des cours des cryptomonnaies comme Bitcoin et Monero pousse les cybercriminels à chercher de nouveaux vecteurs de profits. Quoi de mieux que de dérober vos informations bancaires directement sur les formulaires de commande des sites e-commerce, avant même la soumission ? Les attaquants n'infiltrent pas votre banque : ils interceptent vos données en amont.
Voici tout ce qu'il faut savoir sur le formjacking.
Le formjacking, ou détournement de formulaire, est une technique malveillante permettant à un cybercriminel d'intercepter les informations bancaires saisies sur un site de commerce électronique.
Selon le Symantec Internet Security Threat Report 2019, les formjackers ont compromis 4 818 sites web uniques par mois en 2018. Symantec a bloqué plus de 3,7 millions de tentatives au cours de l'année, dont plus d'un million durant les deux derniers mois – culminant pendant le Black Friday et la période de Noël.
Comment cela fonctionne-t-il ? Le formjacking injecte un code malveillant sur le site e-commerce. Ce script vole les données de paiement (numéros de carte, noms, etc.) et les transmet à un serveur distant pour réutilisation ou revente, sans que la victime ne s'en rende compte.
À première vue simple, cette attaque est redoutablement efficace. Un pirate n'a utilisé que 22 lignes de code pour compromettre British Airways, dérobant 380 000 informations de cartes de crédit et empochant plus de 13 millions de livres sterling.
Des attaques médiatisées contre British Airways, Ticketmaster UK, Newegg, Home Depot et Target partagent ce point commun : le formjacking.
Identifier un unique responsable est complexe face à l'ampleur des attaques. Comme pour d'autres vagues cybercriminelles récentes, plusieurs acteurs sont impliqués, principalement les groupes Magecart.
Magecart désigne les logiciels malveillants utilisés pour injecter du code sur des sites vulnérables. Bien que souvent perçu comme un groupe unique, Magecart regroupe plusieurs entités distinctes employant des techniques variées.
Yonathan Klijnsma, chercheur chez RiskIQ, a identifié six groupes principaux dans un rapport conjoint avec Flashpoint : Inside Magecart [PDF]. Voici leurs caractéristiques :
Ces groupes rivalisent en innovation pour maximiser le vol de données.
RiskIQ qualifie le groupe 4 d'« avancé ». Il mime le trafic naturel en imitant des domaines publicitaires ou analytiques. Il modifie régulièrement ses outils (skimmers, URL, serveurs).
Unique en son genre, il valide l'URL de paiement, remplace le formulaire original par un faux pour standardiser les données volées. RiskIQ lie cela à une expertise en malwares bancaires adaptée au formjacking.
Les données volées sont revendues sur des forums de carding internationaux, sites professionnels en apparence (anglais impeccable, support client).
Les groupes Magecart vendent aussi des kits de formjacking (250 à 5 000 $) et l'accès à des sites compromis (dès 0,50 $). Flashpoint a recensé 3 000 sites en vente sur un forum russe, avec dizaines de vendeurs et centaines d'acheteurs.
Les skimmers Magecart exploitent JavaScript. Un bloqueur de scripts navigateur est efficace :
Attention : ce n'est pas infaillible. Évitez les petits sites moins sécurisés (bien que les grands ne soient pas à l'abri). Malwarebytes Premium offre une protection en temps réel contre ces attaques.
[]