2017年は身代金の年、2018年はクリプトジャックの年、そして2019年は「強盗」の年となりそうです。

ビットコインやモネロなどの暗号通貨の劇的な切り下げは、サイバー犯罪者が不正な利益を得るために他の場所に目を向けていることを意味します。銀行情報を盗むには、製品注文の際、送信をクリックする前であることが最も適しています。そう、彼らはあなたの銀行に押し入ったわけではないのです。そこまで行く前に攻撃者にデータを取られてしまった。

ここでは、強盗について説明します。

フォームジャッキングは何ですか？

フォームハイジャック攻撃は、サイバー犯罪者がeコマースサイトから直接お客様の銀行情報を傍受する方法です。

シマンテックの「2019 Internet Security Threat Report」によると、フォームジャッカーは2018年に1カ月あたり4,818のユニークなウェブサイトを侵害したとのことです。シマンテックでは、過去1年間に370万件以上のフォームジャッキングの試行を阻止しています。

また、2018年の最後の2カ月間、11月のブラックフライデーの週末と12月のクリスマス商戦期には、100万回を超えるスナップ試行が行われました。

では、モードジャックの攻撃はどのように行われるのでしょうか。

フォームジャッキングは、Eコマースプロバイダーのウェブサイトに悪意のあるコード**を設置するものです。この悪質なコードは、カード情報、名前、その他オンラインショッピングで一般的に使用される個人情報などの支払い情報を盗みます。盗まれたデータは、再利用のためにサーバーに送信されたり、支払い情報が漏えいしたことを被害者が知らないまま**送信されます。

全体として、かなりベーシックな印象です。遠いな。ハッカーが22行のコードを使って、ブリティッシュ・エアウェイズのウェブサイト上で動作するスクリプトを修正しました。この攻撃者は38万枚のクレジットカードの情報を盗み、その過程で1300万ポンド以上を手に入れました。

それが誘惑なんです。ブリティッシュ・エアウェイズ、チケットマスターUK、ニューエッグ、ホームデポ、ターゲットに対する最近の著名な攻撃には、フォームジャッキングという共通点があります。

強盗の背後にいるのは誰？

セキュリティ研究者にとって、1つの攻撃（少なくとも攻撃の種類）に対して多くのユニークなウェブサイトが犠牲になる場合、個々の攻撃者を特定することは常に困難です。最近の他のサイバー犯罪の波と同様、犯人は一人ではありません。その代わり、フォームハイジャックの大半はMagecartグループから発信されています。

ハッカー集団が脆弱なECサイトに悪意あるコードを注入するために使用するソフトウェアに由来しています。そのため、ハッキンググループを表すのに、Magecartが単独で使われているのをよく見かけますが、これは混乱の元です。実際、多くのマゲカートハッキンググループは、異なるターゲットを攻撃するために、異なるテクニックを使用しています。

RiskIQの脅威研究者であるYonathan Klijn**aは、さまざまなMagecartのグループを追跡しています。リスクインテリジェンス企業であるFlashpoint社が最近発表したレポートの中で、Klijn**aは、Magecartを使用し、検出を避けるために同じ名前を使用している6つのグループについての詳細を述べています。

Magecartの社内レポート[PDF]では、主なMagecartグループごとに独自の特徴を探っています。

• グループ1および2：自動化されたツールを使ってウェブサイトを妨害したり、ナビゲートしたりする幅広いターゲットへの攻撃、高度な再送信スキームを使って盗んだデータをマネタイズする。
• グループ3：目標量が非常に多く、独自のシリンジとスキマーを操作する。
• グループ4：最も進んだグループの一つで、様々なぼかしツールを使って被害者のウェブサイトと統合している。
• グループ5：サードパーティベンダーの侵入を狙ったもので、チケットマスターの攻撃に関連する複数のターゲットがあります。
• グループ6：ブリティッシュ・エアウェイズやNeweggの攻撃など、非常に価値の高いウェブサイトやサービスを選択的にターゲットにしたもの。

このように、これらのグループは曖昧で、異なるテクニックを使っています。また、マゲカートグループは、効果的なクレデンシャル盗難対策製品の製作を競っています。特に高額なリターンを目指すグループもあり、これらの目標は様々です。しかし、ほとんどの場合、彼らは同じプールで泳いでいるのです。(この6つだけがマジェカートグループではありません）。

シニアグループ4

RiskIQのリサーチペーパーでは、グループ4が「上級」グループとされていますが、これはフォームハイジャックの観点からはどうなのでしょうか。

グループ4は、侵入先のWebサイトに溶け込もうとする。Group 4は、ネットワーク管理者やセキュリティ研究者が発見する可能性のある偶発的なWebトラフィックを追加で生成するのではなく、「自然な」トラフィックを生成しようとするものである。これは、「広告プロバイダー、分析プロバイダー、被害者、その他彼らが見え隠れするのに役立つあらゆるもののドメインを模倣する」ドメインを登録することによって行われます。

さらにgroup4は、スキマーの外観、URLの表示方法、データフィルタリングサーバーなどを定期的に変更しています。

group4formjackingスキマーは、まず実行中のチェックアウトURLを検証します。その後、他のグループとは異なり、group4スキマーは支払いフォームを独自の支払いフォームに置き換え、スキミングフォームを直接顧客（被害者と呼ぶ）に提供します。この代替用紙は「抽出するデータを標準化」し、再利用や販売を容易にするものです。

RiskIQは、「これらの高度な手法と洗練されたインフラを組み合わせることで、銀行向け不正プログラムのエコシステムには歴史がある可能性を示唆している」と結論付けています。しかし、銀行詐欺よりはるかに簡単なので、彼らはカードスウィッピングに手口を移したのです。"

グループはどうやってお金を稼ぐのですか？

ほとんどの場合、盗まれた**はオンライン**である。国際的な、そしてロシア語のコーミングフォーラムには、盗まれたクレジットカードやその他の銀行情報の長いリストがたくさんあります。皆さんが想像するような、違法で汚いサイトではありません。

最も人気のあるグルーミングサイトの中には、完璧な英語、完璧な文法、****など、正規のeコマースサイトに期待されるすべてを備えたプロフェッショナルなイメージのサイトがあります。

また、Magecart Groupは、その一連のソフトウェアを他のサイバー犯罪者に転売しています。Flashpoint社のアナリストは、ロシアのハッキングフォーラムで、カスタマイズされた傍受テンプレートツールの広告を見つけました。キットの価格は250ドルから5,000ドルまで、その複雑さに応じて様々で、ベンダーは独自の価格設定モデルを示しています。

例えば、あるベンダーの専門ツールの廉価版として、ダイジャック攻撃が盛んに行われています。

また、フォームジャッキンググループは、サイトのランキングやホスティングなどの要因に応じて、0.50ドルから侵害されたサイトへのアクセスを提供しています。同じホットスポットのアナリストが、同じハッカーフォーラムで約3,000の違反ウェブサイトを発見しました**。

さらに、同じ掲示板に「十数人の売り手と数百人の買い手」が存在するのです。

モールドジャック攻撃を防ぐには？

Magecartのフォームジャッキング・スキマーは、顧客の決済フォームを開発するためにJavaScriptを使用しています。データを盗み出すフォームジャックアタックを阻止するには、ブラウザベースのスクリプトブロッカーを使用することで十分である場合が多い。

• Chromeをお使いの方はScriptSafeをご確認ください。
• FirefoxユーザーはNoScriptを使用することができます。
• OperaのユーザーはScriptSafeを使用することができます。
• SafariユーザーはJSBlockerをチェックしてみてください。

ブラウザにスクリプトブロックの拡張機能を追加すれば、フォームハイジャック攻撃に対する防御が強化されます。しかし、完璧ではありません。

RiskIQのレポートでは、メインサイトと同じレベルの保護が施されていない小規模なサイトは避けることを推奨しています。ブリティッシュ・エアウェイズ、Newegg、チケットマスターへの攻撃は、これらの推奨事項が完全に正しいとは言えないことを示唆しています。ただし、割り引いてはいけない。カップルのECサイトでは、Magecartのフォームハイジャック・スクリプトがホストされている可能性が高いです。

もう一つの緩和策は、リアルタイムのシステムスキャンとブラウザ内の保護を提供するMalwarebytes Premiumです。Premium版では、まさにこのような攻撃に対する防御を提供します。アップグレードを迷っている方Malwarebytes Premiumにアップグレードする5つの大きな理由がここにあります!