2017年是勒索年。2018年的主题是加密劫持。2019年正逐渐形成一个“劫模年”。

比特币（Bitcoin）和摩纳罗（Monero）等加密货币的大幅贬值，意味着网络犯罪分子正在别处寻找欺诈性利润。还有什么比直接从产品订单中窃取银行信息更好的地方，甚至在你点击提交之前。是的，他们没有闯入你的银行。攻击者在你的数据还没到那么远的时候就把它拿走了。

以下是你需要知道的关于抢劫的事情。

什么是压模(formjacking)？

表格劫持攻击是网络犯罪分子直接从电子商务网站截获你的银行信息的一种方式。

根据赛门铁克2019年互联网安全威胁报告，2018年，formjackers每月入侵4818个独特网站。在过去的一年里，赛门铁克阻止了超过370万次的表格窃取企图。

此外，在2018年最后两个月期间，超过100万次的抢购企图出现在11月的黑色星期五周末以及12月的圣诞购物期间。

那么，劫模攻击是如何工作的呢？

Formjacking涉及将恶意代码**电子商务提供商的网站。恶意代码窃取支付信息，如卡的详细信息，姓名，和其他个人信息常用的网上购物。被盗的数据被发送到服务器以供重用或**，受害者不知道他们的支付信息被泄露。

总而言之，这似乎很基本。离它很远。一名黑客用22行代码修改了在英国航空公司网站上运行的脚本。攻击者盗取了38万张信用卡的详细资料，在此过程中净赚1300多万英镑。

这就是诱惑。最近针对英国航空公司、TicketMaster UK、Newegg、HomeDepot和Target的高调攻击有一个共同点：formjacking。

是谁在幕后策划了抢劫案？

当这么多独特的网站成为单一攻击（或者至少是攻击类型）的牺牲品时，确定单个攻击者对安全研究人员来说总是很困难的。与最近的其他网络犯罪浪潮一样，没有单一的犯罪者。取而代之的是，大多数表单劫持源于Magecart组。

这个名字源于黑客组织用来向易受攻击的电子商务网站注入恶意代码的软件。它确实会引起一些混乱，而且你经常看到Magecart被用作描述黑客组织的单一实体。事实上，许多Magecart黑客组织使用不同的技术攻击不同的目标。

RiskIQ的威胁研究员Yonathan Klijn**a跟踪了不同的Magecart组。在风险情报公司Flashpoint最近发布的一份报告中，Klijn**a详细描述了六个使用Magecart的不同群体，他们用同一个名字来避免被发现。

内部Magecart报告[PDF]探讨了每个主要Magecart组的独特之处：

• 第1组和第2组：攻击范围广泛的目标，使用自动化工具破坏和浏览网站；使用复杂的重新装运方案将被盗数据货币化。
• 第三组：非常高的目标量，操作一个独特的注射器和撇油器。
• 第四组：最高级的组之一，使用一系列模糊处理工具与受害者网站融合。
• 第5组：目标第三方供应商违反多个目标，链接到Ticketmaster攻击。
• 第六组：有选择地针对价值极高的网站和服务，包括英国航空公司和纽蛋攻击。

正如你所看到的，这些小组是模糊的，使用不同的技术。此外，Magecart组正在竞争创建一个有效的凭证窃取产品。这些目标是不同的，因为有些团体特别以高价值回报为目标。但大多数情况下，他们是在同一个游泳池里游泳。（这六个并不是唯一的Magecart组。）

高级组4

RiskIQ的研究论文将第四组列为“高级”组。这在表格劫持中意味着什么？

第四组试图融入它正在渗透的网站。第4组不是创建网络管理员或安全研究人员可能发现的额外意外web流量，而是尝试生成“自然”流量。它通过注册域名来做到这一点，“模仿广告提供商、分析提供商、受害者的域名，以及任何其他帮助他们隐藏在视线中的东西”。

此外，group4还定期更改其skimmer的外观、url的显示方式、数据过滤服务器等等。还有更多。

group4formjacking skimmer首先验证它运行的签出URL。然后，与所有其他组不同的是，组4 skimmer使用自己的一个支付表单替换支付表单，将skimming表单直接提供给客户（阅读：受害者）。替换表单“将要提取的数据标准化”，使其更易于重用或销售。

RiskIQ的结论是，“这些先进的方法与复杂的基础设施相结合，表明银行业恶意软件生态系统可能有一段历史。但他们将作案手法转向了刷卡，因为这比银行欺诈容易得多。”

团体是如何赚钱的？

大多数时候，被盗的**都是在网上**的。有许多国际和俄罗斯语言的梳理论坛与被盗信用卡和其他银行信息长名单。他们不是非法的，肮脏的网站类型，你可能会想象。

一些最受欢迎的梳理网站以专业的形象出现——完美的英语、完美的语法、****；你从合法的电子商务网站所期望的一切。

Magecart集团还将他们的套牌软件转售给其他可能的网络罪犯。Flashpoint的分析师在一个俄罗斯黑客论坛上发现了定制的截取模板工具的广告。这些套件的价格从250美元到5000美元不等，这取决于其复杂性，供应商展示了独特的定价模式。

例如，一家供应商提供的专业工具的预算版本就是备受瞩目的劫模攻击。

Formjacking团体还提供访问受损网站的服务，根据网站排名、托管和其他因素，价格最低为0.5美元。同一个热点分析师发现，在同一个黑客论坛上，约有3000个违规网站在**。

此外，在同一个论坛上还有“十几个卖家和几百个买家”。

你怎么能阻止劫模攻击？

Magecart formjacking skimmers使用JavaScript开发客户支付表单。使用基于浏览器的脚本拦截器通常足以阻止窃取数据的formjacking攻击。

• Chrome用户应该检查ScriptSafe
• Firefox用户可以使用NoScript
• Opera用户可以使用ScriptSafe
• Safari用户应该查看JSBlocker

一旦你将一个脚本阻止扩展添加到浏览器中，你将有更多的保护来抵御表单劫持攻击。但这并不完美。

RiskIQ报告建议避免使用与主要站点保护级别不同的小型站点。对英国航空公司、纽蛋和Ticketmaster的攻击表明，这些建议并不完全正确。不过，不要打折扣。夫妻电子商务网站更有可能承载Magecart表单劫持脚本。

另一个缓解措施是Malwarebytes Premium。Malwarebytes Premium提供实时系统扫描和浏览器内保护。高级版本正是针对这种攻击提供保护。不确定升级？以下是升级到Malwarebytes Premium的五个绝佳理由！