2017 a été l'année des rançongiciels. 2018 était consacrée au cryptojacking. 2019 s'annonce comme l'année du formjacking.
Les baisses drastiques de la valeur des crypto-monnaies telles que Bitcoin et Monero signifient que les cybercriminels cherchent ailleurs des profits frauduleux. Quel meilleur endroit que de voler vos informations bancaires directement depuis le formulaire de commande du produit, avant même de cliquer sur soumettre. C'est exact; ils ne font pas irruption dans votre banque. Les attaquants s'emparent de vos données avant même qu'elles n'arrivent aussi loin.
Voici ce que vous devez savoir sur le formjacking.
Une attaque par détournement de formulaire est un moyen pour un cybercriminel d'intercepter vos informations bancaires directement à partir d'un site de commerce électronique.
Selon le Symantec Internet Security Threat Report 2019, les formjackers ont compromis 4 818 sites Web uniques chaque mois en 2018. Au cours de l'année, Symantec a bloqué plus de 3,7 millions de tentatives de formjacking.
En outre, plus d'un million de ces tentatives de détournement de formes ont eu lieu au cours des deux derniers mois de 2018 – jusqu'au week-end du Black Friday de novembre, puis tout au long de la période des achats de Noël en décembre.
Alors, comment fonctionne une attaque de formjacking ?
Le formjacking consiste à insérer un code malveillant dans le site Web d'un fournisseur de commerce électronique. Le code malveillant vole les informations de paiement telles que les détails de la carte, les noms et autres informations personnelles couramment utilisées lors des achats en ligne. Les données volées sont envoyées à un serveur pour être réutilisées ou vendues, la victime ignorant que ses informations de paiement sont compromises.
Dans l'ensemble, cela semble basique. C'est loin d'être le cas. Un pirate a utilisé 22 lignes de code pour modifier des scripts exécutés sur le site de British Airways. L'agresseur a volé 380 000 informations de carte de crédit, ce qui lui a rapporté plus de 13 millions de livres sterling.
C'est là que réside l'attrait. Les récentes attaques très médiatisées contre British Airways, TicketMaster UK, Newegg, Home Depot et Target partagent un dénominateur commun :le formjacking.
Identifier un seul attaquant lorsque tant de sites Web uniques sont victimes d'une seule attaque (ou du moins, d'un type d'attaque) est toujours difficile pour les chercheurs en sécurité. Comme pour les autres vagues récentes de cybercriminalité, il n'y a pas un seul auteur. Au lieu de cela, la majorité du formjacking provient des groupes Magecart.
Le nom provient du logiciel que les groupes de piratage utilisent pour injecter du code malveillant dans les sites de commerce électronique vulnérables. Cela cause une certaine confusion, et vous voyez souvent Magecart utilisé comme une entité singulière pour décrire un groupe de piratage. En réalité, de nombreux groupes de piratage Magecart attaquent différentes cibles, en utilisant différentes techniques.
Yonathan Klijnsma, chercheur sur les menaces chez RiskIQ, suit les différents groupes Magecart. Dans un récent rapport publié avec la société de renseignement sur les risques Flashpoint, Klijnsma détaille six groupes distincts utilisant Magecart, opérant sous le même nom pour éviter la détection.
Le rapport Inside Magecart [PDF] explore ce qui rend chacun des principaux groupes Magecart unique :
Comme vous pouvez le voir, les groupes sont ténébreux et utilisent des techniques différentes. De plus, les groupes Magecart sont en concurrence pour créer un produit efficace de vol d'informations d'identification. Les objectifs sont différents, car certains groupes visent spécifiquement des rendements de grande valeur. Mais pour la plupart, ils nagent dans la même piscine. (Ces six ne sont pas les seuls groupes Magecart disponibles.)
Le document de recherche RiskIQ identifie le groupe 4 comme "avancé". Qu'est-ce que cela signifie dans le contexte du formjacking ?
Le groupe 4 tente de se fondre dans le site Web qu'il infiltre. Au lieu de créer un trafic Web supplémentaire inattendu qu'un administrateur réseau ou un chercheur en sécurité pourrait repérer, le groupe 4 essaie de générer un trafic « naturel ». Pour ce faire, il enregistre des domaines "imitant les fournisseurs de publicité, les fournisseurs d'analyse, les domaines de la victime et tout autre élément" qui les aide à se cacher.
De plus, Group 4 modifie régulièrement l'apparence de son skimmer, l'apparence de ses URL, les serveurs d'exfiltration de données, etc. Il y a plus.
Le skimmer de formjacking Group 4 valide d'abord l'URL de paiement sur laquelle il fonctionne. Ensuite, contrairement à tous les autres groupes, l'écumeur du groupe 4 remplace le formulaire de paiement par l'un des leurs, servant le formulaire d'écrémage directement au client (lire :victime). Le remplacement du formulaire "standardise les données à extraire", ce qui facilite la réutilisation ou la revente.
RiskIQ conclut que "ces méthodes avancées combinées à une infrastructure sophistiquée indiquent une histoire probable dans l'écosystème des logiciels malveillants bancaires... mais ils ont transféré leur MO [Modus Operandi] vers l'écrémage de cartes parce que c'est beaucoup plus facile que la fraude bancaire."
La plupart du temps, les identifiants volés sont vendus en ligne. Il existe de nombreux forums de carding internationaux et en russe avec de longues listes de cartes de crédit volées et d'autres informations bancaires. Ce n'est pas le type de site illicite et miteux que vous pourriez imaginer.
Certains des sites de carding les plus populaires se présentent comme une tenue professionnelle --- anglais parfait, grammaire parfaite, service client; tout ce que vous attendez d'un site de commerce électronique légitime.
Les groupes Magecart revendent également leurs packages de formjacking à d'autres cybercriminels potentiels. Les analystes de Flashpoint ont trouvé des publicités pour des kits de skimmer de formjacking personnalisés sur un forum de piratage russe. Les kits varient d'environ 250 $ à 5 000 $ selon la complexité, les fournisseurs affichant des modèles de tarification uniques.
Par exemple, un fournisseur proposait des versions économiques d'outils professionnels vu les attaques de formjacking très médiatisées.
Les groupes de formjacking offrent également un accès à des sites Web compromis, avec des prix à partir de 0,50 $, en fonction du classement du site Web, de l'hébergement et d'autres facteurs. Les mêmes analystes de Flashpoint ont découvert environ 3 000 sites Web piratés en vente sur le même forum de piratage.
De plus, il y avait "plus d'une douzaine de vendeurs et des centaines d'acheteurs" opérant sur le même forum.
Les skimmers de formjacking Magecart utilisent JavaScript pour exploiter les formulaires de paiement des clients. L'utilisation d'un bloqueur de script basé sur un navigateur est généralement suffisante pour empêcher une attaque de détournement de formulaire de voler vos données.
Une fois que vous avez ajouté l'une des extensions de blocage de script à votre navigateur, vous bénéficiez d'une protection bien plus importante contre les attaques par détournement de formulaire. Ce n'est pas parfait cependant .
Le rapport RiskIQ suggère d'éviter les petits sites qui n'ont pas le même niveau de protection qu'un site majeur. Les attaques contre British Airways, Newegg et Ticketmaster suggèrent que les conseils ne sont pas entièrement judicieux. Ne le négligez pas cependant. Un site de commerce électronique familial est plus susceptible d'héberger un script de formjacking Magecart.
Une autre atténuation est Malwarebytes Premium. Malwarebytes Premium offre une analyse du système en temps réel et une protection dans le navigateur. La version Premium protège précisément contre ce type d'attaque. Vous n'êtes pas sûr de la mise à niveau ? Voici cinq excellentes raisons de passer à Malwarebytes Premium !