Magecart-angrep: Hva det er, hvordan det fungerer og hvordan du kan forhindre det

Forstå forsyningskjeden av stjålne data Terbium-sjef forskningsansvarlig Munish Walther-Puri forklarer hvordan hackede data flyttes fra dine personlige kontoer til Dark Web.




Hver dag hører vi om noen nye trusler eller sårbarheter i teknologi, og datahøstingsangrepet kjent som "Magecart" er den siste trusselen. Jeg diskuterte denne trusselen med Peter Blum, visepresident for teknologi hos appleverandørleverandøren Instart.

Magecart-angrep: Definert

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag


Scott Matteson: Hva er et Magecart-angrep?

Peter Blum: Magecart er en form for skimming av data, som angriper ved å bruke nettleseren på klientsiden som inngangsdør for interaksjon mellom forbrukere. "Skimming" er en metode som brukes av angripere for å fange sensitiv informasjon fra online betalingsformer, for eksempel e-postadresser, passord og kredittkortnummer. For Magecart implanterer hackere ondsinnet kode på nettsteder for å stjele kredittkortinformasjon når folk oppgir legitimasjon på kassen.

Windows 10-sikkerhet: En guide for bedriftsledere (Tech Pro Research)

Scott Matteson: Hvordan fungerer det?

Peter Blum: Data skimming angrep som Magecart følger vanligvis et veletablert mønster. De må oppnå tre ting for å lykkes.

  • Trinn 1: Få tilgang til nettstedet ditt

Det er vanligvis to måter angripere får tilgang til nettstedet ditt og plasser skimmingkode. De kan enten bryte seg inn i infrastrukturen din eller serveren din og plassere skimmeren der. Eller de vil følge en av tredjepartsleverandørene dine, spesielt hvis de er et lettere mål og smitter en tredjepart-kode som kjører et ondsinnet skript på nettstedet ditt når det heter i nettleseren.

  • Trinn 2: Skum sensitiv informasjon fra et skjema

Det er mange forskjellige måter grupper kan fange opp data, men skimmingkoden er alltid en slags JavaScript som lytter etter personlig informasjon og samler inn den. Vi har sett en tilnærming der de overvåker alle tastetrykkene på en sensitiv side eller noen som avlytter innspill til bestemte deler av en nettform som kredittkort- og CVV-feltene. Generelt vil angripere skjule ondsinnet kode i annen kode som ser godartet ut for å unngå oppdagelse.

  • Trinn 3: Send informasjon tilbake til serveren deres

Dette er den enkleste delen av hele prosessen. Når hackere har fått tilgang til nettstedet ditt og skrap dataene de vil ha, er det spillet over. De kan sende informasjonen fra sluttbrukernes nettlesere til nesten ethvert sted på internett.

Ansvarlig fest

Scott Matteson: Hvem står bak dette?

Peter Blum: Magecart er navnet som er gitt til denne kategorien angrep - det er ikke en spesifikk organisasjon eller enhet. Det er dusinvis av forskjellige cyberkriminelle grupper som bruker denne angrepsstilen. Det siste året skjedde høyprofilerte angrep mot selskaper som British Airways, Ticketmaster og NewEgg.

Scott Matteson: Hvilke sårbarheter / miljøer byttes den ut?

Peter Blum: I dag er det ikke uvanlig at et enkelt nettsted består av kode som er opprettet og driftet av så mange som 50 forskjellige selskaper. Kode som er utviklet i egen regi og kjører på din egen webside kalles førsteparts kode. Kode som kommer fra andre selskaper kalles tredjeparts-, fjerde- eller til og med femtepartskode.

Mange kunder er ikke klar over at når du integrerer kode fra andre selskaper, faktisk har det samme nivå av privilegium som din egen kode. Det betyr at denne utenforstående koden kan vise meldinger til brukerne dine, filtrere sensitive data som er lagt inn av brukere eller lagret i informasjonskapsler, eller til og med omdirigere brukeren til et annet nettsted.

Hos Instart ser vi flere og flere nettsteder der så mange som 75% av samtalene som er foretatt av nettleseren, er fra andre kilder enn ditt selskap. Så, hvordan vet du egentlig hva som skjer når nettsteder er avhengige av kode fra 50 forskjellige skytjenester, som er hostet av 50 forskjellige organisasjoner? Dette er fellen som mange forhandlere har falt i, og Magecart-angripere bytt på. En sårbarhet hvor som helst er en sårbarhet overalt.

Den gode nyheten er at du kan beskytte sensitiv informasjon. Nøkkelen er at all denne koden bare kommer sammen når den er satt sammen i forbrukerens nettleser. Så du må distribuere teknologi som kan overvåke og beskytte sensitive data i sanntid i nettleseren.

Spesiell rapport: En vinnende strategi for cybersecurity (gratis PDF) (TechRepublic)

Ta opp trusselen

Scott Matteson: Hva bør IT-avdelinger gjøre for å møte denne trusselen?

Peter Blum: Problemet med Magecart er at det er mye forvirring når det gjelder å faktisk beskytte disse nettbaserte kortskumningsangrepene. For eksempel kan revisjon av et nettsted regelmessig ikke stoppe angrep, ettersom problemet kommer fra tredjeparts tagger, som revisjon ikke vil oppdage.

Mitt råd for IT-team er å ta en null-tillit tilnærming med JavaScript på nettstedene deres, og starte med en policy for å blokkere tilgang som standard til all sensitiv informasjon som er lagt inn i webformer og lagrede informasjonskapsler. Derfra tillater du bare et valgt sett med kontrollerte skript (vanligvis bare ditt eget) for å få tilgang til sensitive data. Og som et resultat, hvis denne typen skimmingkoder kommer på nettstedet ditt, har den rett og slett ikke tilgang til noe av den sensitive informasjonen.

Dessverre tilbyr nettlesere ikke denne typen funksjonalitet, så IT-team må enten implementere sine egne beskyttelsesmetoder eller hente inn teknologi fra eksterne leverandører som spesialiserer seg i å beskytte mot denne typen angrep.

Scott Matteson: Hva bør sluttbrukere gjøre for å løse denne trusselen?

Peter Blum: Mange forbrukere stoler på nettbutikkene og nettstedene de handler på. Det er best å unngå mindre nettsteder som sannsynligvis ikke har samme sikkerhetsnivå som større, mer etablerte organisasjoner. Sluttbrukere bør sørge for at de følger med på belastningene på kredittkortene deres. Mange ganger blir det gjort små testkostnader for å sikre at et kredittkortnummer fortsatt er aktivt før mer utbredt bedrageri. Sluttbrukere bør også vurdere å bruke betalingssystemer som Apple Pay som genererer unike antall for hver transaksjon, og sikrer at hvis angripere får et nummer, de ikke kan bruke det igjen i fremtiden. Og til slutt har kredittovervåkingssystemene i disse dager blitt et must for å sikre at personopplysninger ikke blir utnyttet for å åpne nye kontoer i ditt navn.

Scott Matteson: Hvordan kan trusselen utvikle seg?

Peter Blum: Vi har sett det siste året at denne typen angrep blir mer vanlig og utvikler seg i et alarmerende tempo. Mens de innledende tilnærmingene var lettere å oppdage, skjuler cyberkriminelle nå sin ondsinnede kode gjennom koding og tilsløring dypt inne i ufarlig kode, noe som gjør det nesten umulig å avsløre disse angrepene som ser på tredjepartskode. Og vi ser nå at hackere koder for stjålet informasjon før den sendes av nettleseren for å unngå mønsterdeteksjonssystemer som ser etter kredittkortnumre. Den beste tilnærmingen er å ta en nulltillitsmodell og bare la veldig spesifikk merket kode få tilgang til sensitiv informasjon.

10 farlige appsårbarheter å passe på (TechRepublic nedlasting)

Scott Matteson: Hva er noen anbefalte proaktive skritt å ta for å håndtere utviklende Magecart-angrep?

Peter Blum: Det beste forsvaret mot Magecart-angrep er å hindre tilgang. Internett-selskaper trenger en løsning som avskjærer alle API-anrop nettstedet ditt ringer til nettleseren og blokkerer tilgang til sensitive data du ikke tidligere har autorisert. Dette forhindrer at ondsinnet skript, eller ethvert ikke-kritisk tredjepartsskript, får tilgang til informasjon kundene dine legger inn på nettstedet ditt. Det samme systemet bør også ha en overvåkningskomponent for å varsle selskaper når en tredjepart prøver å få tilgang til sensitiv informasjon.

Vi fortsetter å se en stor uptick i angrep mot nettsteder som tar og behandler betalingsinformasjon fra sluttbrukere. Ikke bare ser vi Magecart-angrep som denne stjele informasjon direkte fra sluttbrukere, men også sofistikerte botangrep som utnytter stjålne brukeropplysninger og kredittkortnummer for å begå svindel ved bruk av data som finnes på andre nettsteder.

Det er avgjørende at merkevarer tenker utover kanten og distribuerer end-to-end websikkerhetsbeskyttelse som kan dempe Magecart-angrep i nettleseren og beskytte backend-infrastruktur, og samtidig stoppe sofistikerte botnet-angrep. Med den enorme økningen i tredjeparts tjenester som brukes, ser vi også legitime tredjeparter ved et uhell fange inn sensitiv brukerinformasjon, noe som kan utsette selskaper for brudd på industri- og myndighetsregler, inkludert PCI, HIPPA, GDPR og CCPA.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com