Формджекинг (formjacking) — это атака «человек в браузере», при которой преступники внедряют вредоносный код JavaScript на веб-страницу, обычно на страницах входа или оформления заказа. Цель атаки этого типа состоит в том, чтобы преступники перехватили информацию, которую вводят посетители сайта, чтобы они могли использовать эти данные для совершения злонамеренных действий, таких как захват учетной записи, внедрение новых форм или новых вопросов в существующие формы, которые побуждают посетителей сайта предоставлять конфиденциальные данные, упаковывать и продавать свежие дампы данных на форумах Dark Web и т. д. Этот тип киберпреступной атаки, при которой транзакционные данные собираются синдикатной преступной организацией, известен как атака Magecart, цифровой скимминг или формджекинг.
Почему взлом формы представляет собой риск кибербезопасности, а не просто риск мошенничества?
Преступники оппортунистичны. Они не просто ищут уязвимости в ваших приложениях, они ищут уязвимости в вашей организации, людях и процессах. Они знают, что многие организации занимаются безопасностью приложений и предотвращением мошенничества отдельно, работая в разных подразделениях. В результате современная киберпреступность действует в серой зоне между безопасностью и мошенничеством, а цифровой скимминг — это атака, попадающая в эту серую зону.
Преступники знают, что многие организации изо всех сил пытаются управлять, отслеживать и защищать объемы, масштабы скриптов, встроенных в веб-сайты. Эти встроенные сценарии вызывают ситуацию «теневого API и JavaScript».
Преступники стремятся манипулировать организациями, которые функционируют изолированно и имеют обширную экосистему цепочки поставок со множеством различных скриптов, встроенных в их сайты. Они используют отсутствие прозрачности, создаваемое этим разрозненным подходом, и пользуются ситуацией, скомпрометировав и модифицируя скрипты с целью сбора личных данных и информации о платежных картах.
Это делает цифровой скимминг риском кибербезопасности, мошенничества и соблюдения требований. Организациям не только нужна видимость JavaScript на своем сайте, но и знать, что собирают скрипты, чтобы предотвратить нарушение правил конфиденциальности данных, таких как GDPR и CCPA, и обеспечить соответствие новым требованиям PCI DSS 4.0 6.4.3 и 11.
Почему онлайн-формы уязвимы для атак?
Онлайн-формы уязвимы для атак из-за рисков экосистемы цепочки поставок. По мере того как организации расширяют свою стороннюю экосистему и количество скриптов на своих сайтах, они создают новые потенциальные точки уязвимости. Большинство организаций не имеют централизованного контроля и управления сценариями. Если сторонний скрипт на вашем сайте имеет уязвимость, и вы не знаете об этом, вы не сможете ее исправить, что откроет дверь для злоумышленника или эксплойта.
В исследовательских отчетах эксперты показывают, что 87% веб-эксплойтов представляли собой атаки взлома с использованием Magecart и его вариантов. Целью большинства инъекционных атак было размещение вредоносных скриптов-скиммеров для сбора платежной информации. Эксперты также наблюдают, что в прошлом году разнообразие вредоносных скриптов для взлома форм выросло в 20 раз за счет увеличения разнообразия используемых методов доступа, маскировки и эксфильтрации.
Кроме того, наблюдается тенденция повторных взломов форм, когда многие организации подвергались одной и той же атаке несколько раз подряд, что является убедительным показателем того, что преступники манипулируют плохими процессами и внутренним управлением.
Как мошенники осуществляют атаки с использованием формджекинга?
Атака цифрового скимминга происходит, когда преступник либо внедряет один или несколько вредоносных сценариев, либо манипулирует существующим сценарием на законной странице или в приложении для создания атаки «человек в браузере» в цепочке поставок программного обеспечения. Эти атаки трудно обнаружить, поскольку эти сценарии часто обновляются третьими сторонами, зачастую без процесса проверки безопасности в вашей организации.
Мошенники могут внедрить вредоносные сценарии множеством способов: преступники нацелены на слабые или украденные учетные данные администратора, компрометируют хост сторонних файлов JavaScript и используют уязвимости в веб-приложениях для внедрения кода на веб-серверы с целью повреждения законных сценариев, уже находящихся на странице. Например, преступники нацеливаются на такие сайты, как GitHub, чтобы завладеть проектами и внедрить свое вредоносное ПО, которое затем скрывается в бездействии до тех пор, пока не будет опубликована обновленная версия проекта.
Каковы наилучшие методы обнаружения формджекинга?
Большинство этих атак остаются незамеченными из-за отсутствия постоянной проверки и мониторинга стороннего программного обеспечения. Лучшие методы обнаружения цифрового скимминга:
Инвентарный аудит: начните с создания внутреннего аудита для инвентаризации всех используемых законных скриптов, их владельцев и авторизации, для чего они используются и как они обслуживаются.
Думайте об этом как о SBOM (спецификация программного обеспечения) для ваших сценариев. Обязательно включите скрипты, добавленные через менеджеры тегов.
Управление и процессы: создайте структуру управления для добавления, мониторинга и поддержки будущих сценариев, чтобы гарантировать целостность каждого сценария и четко документировать, почему сценарий необходим.
Доступ с наименьшими привилегиями: помните, что многие атаки происходят из-за плохого контроля аутентификации и авторизации, поэтому рассмотрите возможность доступа к сценариям с наименьшими привилегиями.
Мониторинг, обнаружение и оповещение: установить возможность мониторинга, обнаружения и оповещения при добавлении нового сценария или изменении существующего сценария. Многие из ранее использовавшихся методов обнаружения, такие как целостность подресурсов (SRI) для проведения проверок целостности, чтобы гарантировать, что скрипт не был подделан, и политика безопасности контента (CSP) для ограничения мест, из которых браузеры могут загружать скрипт и отправлять данные, по-прежнему имеют некоторую ценность, но уже недостаточны для защиты современных постоянно меняющихся веб-приложений и мобильных приложений.
Более современный подход к обнаружению атак цифрового скимминга должен включать обнаружение потенциальных угроз третьих сторон путем изучения кода JavaScript и генерируемого вредоносного сетевого трафика. Он также должен включать обнаружение Magecart на основе сигнатур для быстрого выявления этих типов атак, поскольку одни и те же методы атак часто используются повторно для новых целей.
Разработайте стратегию быстрого устранения угроз: изучите простые стратегии устранения угроз одним щелчком мыши, с помощью которых вы сможете быстро просматривать изменения сценариев и оповещения на интерактивной информационной панели с помощью инструмента, который обеспечивает устранение угроз одним щелчком мыши и блокирует сетевые вызовы, похищающие данные.
Что могут сделать компании, чтобы минимизировать риск успешной атаки формджекинга?
Чтобы минимизировать риск, компании необходимо сначала понять, где находятся все их объекты и какие скрипты находятся на этих страницах. Вы не сможете защитить свою организацию от атак, если не знаете, что защищаете. Компании следует свести к минимуму количество скриптов на всех страницах, особенно на страницах оплаты и оформления заказа. Цифровой скимминг стал настолько серьезной проблемой, что новое руководство PCI рекомендует организациям включать только «обязательные» сценарии на страницы, которые собирают PII и платежную информацию.
Компании должны использовать это новое руководство PCI в сочетании с новыми бесплатными инструментами, которые активно предлагают заинтересованные стороны отрасли.
Что делать компаниям, если они осознают, что стали жертвой атаки формджекинга?
Если компания стала жертвой атаки цифрового скимминга, ей следует немедленно реализовать уже имеющийся план реагирования на инциденты. В идеале план согласуется с принципами кибербезопасности NIST и включает в себя такие действия, как:
- Выполните безопасные операции для быстрой защиты систем и устранения уязвимостей.
- Мобилизуйте группу реагирования на утечки, чтобы предотвратить дополнительную потерю данных.
- Определите, какие данные были скомпрометированы и под какие правила соответствия они подпадают.
- Сообщите клиентам, на которых это могло повлиять.
- Проведите оценку после инцидента.
Можете ли вы дать определение понятию «экосистема цепочки поставок» и привести пример?
Сегодняшние экосистемы цепочки поставок программного обеспечения представляют собой сложную сеть приложений, API (интерфейсов прикладного программирования), людей, процессов и инструментов, которые взаимодействуют в рамках организации и цифровых активов.
Экосистемы цепочек поставок программного обеспечения почти всегда включают в себя сторонний код, работающий на сайтах компаний, что создает риски безопасности и мошенничества для компаний и их клиентов. Например, на странице оформления заказа может быть несколько скриптов от разных сторон, которые подключаются к многочисленным платежным процессорам.
Где компаниям следует искать уязвимости в экосистеме своей цепочки поставок?
Цепочки поставок просто не будут работать, если у вас нет устойчивости, а для обеспечения устойчивости вам необходимо понимать потенциальные точки уязвимости. В управлении цепочками поставок существует концепция под названием «Тройная цепочка поставок» — гибкость, адаптируемость и согласованность.
Устойчивые цепочки поставок должны учитывать три эти фактора, чтобы легко адаптироваться к стихийным бедствиям, сбоям и меняющимся потребностям. Однако цепочка поставок также должна также соответствовать «триаде», используемой в кибербезопасности – конфиденциальность, целостность и доступность – чтобы создать действительно эффективный оборонительный подход.
Компании должны искать уязвимости во всей своей цепочке поставок, включая людей, процессы и технологии, и должны понимать потенциальные области компрометации каждой из них.
Люди: есть ли у вас необходимый уровень контроля доступа? Прошли ли ваши люди соответствующую подготовку?
Процесс: есть ли у вас четко задокументированные процессы сертификации, привлечения и мониторинга сторонних сценариев?
Технологии: есть ли у вас инструменты для проверки и обнаружения взлома вашего сайта?
Что компании могут сделать в первую очередь, чтобы защитить экосистему своей цепочки поставок и предотвратить кражу форм?
Первое, что компании могут сделать для защиты экосистемы своей цепочки поставок, — это провести оценку стратегии безопасности. Она должна включать оценку рисков и соответствия требованиям, а также оценку существующего управления безопасностью, включая конфиденциальность данных, риски третьих сторон, а также потребности и пробелы в соблюдении нормативных требований в области ИТ, сопоставленные с бизнес-задачами, требованиями и целями.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.