El uso de código JavaScript malicioso para robar los datos de las tarjetas de crédito y otra información de los formularios de pago en las páginas web en sitios e-commerce, tuvieron una tendencia al alza en 2018.
Los datos de Symantec muestran que 4.818 sitios web diferentes se vieron comprometidos con el código de formjacking todos los meses en 2018. Con los datos de una sola tarjeta de crédito que se venden por hasta USD 45 en el mercado negro, solo 10 tarjetas de crédito robadas de sitios web comprometidos podrían resultar en un rendimiento de hasta USD 2.2 millones para los ciberdelincuentes cada mes. La atracción por el formjacking de los ciberdelincuentes es clara.
Solo Symantec bloqueó más de 3.7 millones de intentos de formjacking en 2018, con más de 1 millón de estos bloqueos ocurriendo solo en los últimos dos meses del año. La actividad de secuestro de formulario ocurrió a lo largo de 2018, con un repunte anómalo en la actividad en mayo (556.000 intentos solo en ese mes), seguido de una tendencia general al alza en la actividad en la última mitad del año.
Gran parte de esta actividad de secuestro de formularios ha sido atribuida a los responsables apodados Magecart, que se cree que son varios grupos de cibercriminales, y algunos, al menos, operan en coopetencia unos con otros. Se cree que Magecart está detrás de varios ataques de alto perfil, incluidos los de British Airways y Ticketmaster, así como ataques contra el minorista británico de electrónicos Kitronik y el vendedor de lentes de contacto VisionDirect.
Estrategia del Formjacking
Este aumento en el formjacking refleja el crecimiento general en los ataques a la cadena de suministro, con Magecart en muchos casos se dirige a servicios de terceros para obtener su código en sitios web específicos. En la violación de alto perfil de Ticketmaster, por ejemplo, Magecart comprometió un chatbot de terceros, que cargaba código malicioso en los navegadores web de los visitantes del sitio web de Ticketmaster, con el objetivo de recopilar los datos de pago de los clientes.
Si bien los ataques a empresas conocidas son titulares, la telemetría de Symantec muestra que a menudo son minoristas pequeños y medianos, que venden productos que varían desde prendas de vestir, equipos de jardinería hasta suministros médicos, a los que se les ha inyectado un código formjacking en sus sitios web. Este es un problema global con la posibilidad de afectar a cualquier negocio que acepte pagos de clientes en línea.
El crecimiento en el secuestro de formularios en 2018 puede explicarse parcialmente por la caída en el valor de las criptomonedas durante el año, los ciberdelincuentes que pueden haber utilizado sitios web para el cryptojacking ahora pueden optar por el secuestro de formularios. El valor de los detalles de tarjetas de crédito robadas en el subsistema cibernético es probablemente más seguro que el valor de las criptomonedas en el clima actual.
Pasos de una Estrategia de Threat Hunting
Desplegar condiciones de detección (reglas, algoritmos, etc.): se localizan las amenazas conocidas, si no se conocen, no se detecta, por eso se debe trabajar con un enfoque de lista negra.
Formular hipótesis de ataque: con lo que se considere que podría ser una amenaza y buscar evidencias.
Validación de las hipótesis: caso de que se confirme alguna de ellas, extender el ámbito de la búsqueda y dar respuesta al incidente.
Crear una nueva condición de detección: se lleva a cabo una reconstrucción del ataque para encontrar nuevos patrones y tácticas empleadas para realizarlo. A partir del conocimiento generado durante el proceso de Threat Hunting, se enriquecen y mejoran los sistemas de detección automatizada.
Estrategia de Ciberseguridad & Human Hacking
Ethical Hackers Services, es parte de nuestra estrategia de “Cyber Security & Human Hacking” basada en tres ejes: Ethical Hacker, Security Awareness, Security Solutions & Services. Servicios que son entregados por hackers de sombrero blanco “Ciberinvestigadores” con años de experiencia, conocimiento e investigación de ciberamenazas y brechas de seguridad.
Fuente: Symantec
Comments