Cuidado! Ameaças online e offline formjacking colocam em perigo dados de pagamento por cartão nas compras de Natal
Agressores cibernéticos estão usando truques antigos e novos para roubar dos varejistas os dados de cartão de pagamento dos clientes nesta época de compras.
O formjacking – roubo dos dados financeiros no e-commerce, disparou em 2018.
A Symantec bloqueou quase 700.000 tentativas de formjacking somente entre setembro e novembro.
Hacker como o grupo Magecart usaram ataques de logística e outras táticas para injetar scripts maliciosos em sites e roubar informações de cartões de pagamento.
Também houve ataques a sistemas de ponto de venda (PDV) em lojas físicas este ano, embora nada até agora se compare aos grandes vazamentos do começo da década, incluindo dezenas de milhões de cartões de crédito comprometidos em um único vazamento.
O comércio brasileiro deve faturar cerca de R$ 60 bi em dezembro, por causa do Natal.
Com o aumento das compras no final do ano, tanto online quanto nas lojas físicas, cresce também o interesse dos hackers por roubar dados sensíveis dos consumidores.
Dois grupos de destaque no mercado de malware de PDV, por exemplo, já roubaram mais de US$ 1 bilhão de empresas de todo o mundo.
Em agosto deste ano, por exemplo, a C&A no Brasil sofreu um ataque do coletivo hacker Fatal Error Crew.
Eles invadiram o sistema de vale-presentes da C&A e obtiveram número do cartão, CPF, e-mail, valor adquirido, e-mail do funcionário que fez a transação, número do pedido e data da compra.
Se a Lei Geral de Proteção de Dados Pessoais estivesse em vigor, a C&A teria que notificar a ANPD (Autoridade Nacional de Proteção de Dados) sobre a invasão e poderia levar desde uma advertência até multa equivalente a 2% do faturamento, limitada a R$ 50 milhões.
A lei só começa a valer em 2020.
Ponto de venda, ponto fraco e de entrada para o formjacking
De acordo com pesquisa recente da equipe Deepsight Managed Adversary and Threat Intelligence (MATI-inteligência gerenciada contra adversários e ameaças) da Symantec, em mercados da dark web;
Agentes criadores de ameaças anunciam o acesso a sistemas de lojistas por preços que vão de US$ 12 pelo acesso administrativo a uma máquina de PDV a US$ 60.000 pelo acesso a uma grande rede corporativa com milhares de servidores e terminais PDV.
Enquanto isso, dependendo de sua qualidade, dados de cartões de pagamento na dark web são vendidos ao valor de US$ 1 a US$ 175 por cartão.
As técnicas de ataques como o formjacking usadas por fraudadores de PDV permanecem óbvias e não evoluíram muito nos últimos anos.
Os hackers utilizam malware de “reciclagem de RAM” para roubar dados de cartões de pagamento, que funciona graças à forma com que os dados costumam trafegar nos sistemas dos varejistas:
• Geralmente, os varejistas usam criptografia em nível de rede em suas redes internas para proteger dados enquanto navegam de um sistema para outro;
• Os dados financeiros nem sempre são criptografados e ainda podem se encontrar na memória do sistema de PDV e em outros sistemas de computador responsáveis pelo processamento e transmissão dos dados;
• Esse ponto fraco permite que os agressores usem malware de reciclagem de RAM para extrair esses dados da memória enquanto estão sendo processados dentro do terminal.
Grupos criminosos cibernéticos de PDV
Dois grupos de destaque no mercado de malware de PDV são o FIN7 e o FIN6. O FIN7 é um grupo bem conhecido, que supostamente já roubou mais de US$ 1 bilhão de empresas de todo o mundo.
O FIN7 usa e-mails sofisticados de phishing direcionado para convencer os alvos a fazer o download de um anexo que, por sua vez, infecta a rede da empresa com malware.
O formjacking mais usado pelo FIN7 é uma versão ajustada do Carberp, que foi utilizado em vários ataques a bancos.
O FIN6 foi visto pela primeira vez em 2016, quando usou o backdoor Grabnew e o malware FrameworkPOS para roubar dados de mais de 10 milhões de cartões de crédito.
O grupo também esteve ativo em 2018 e foi detectado explorando ferramentas prontas (“live off the land”) como o utilitário de linha de comando da instrumentação de Gerenciamento do Windows (WMIC) e o framework Metasploit para executar comandos PowerShell.
Acredita-se que ambos os grupos ganharam muitos milhões de dólares vendendo os dados de cartões roubados em mercados na dark web.
Mas, recentemente, emergiram alguns fatores que podem afetar o ambiente dos ataques a PDV e a atividade desses grupos.
• Três integrantes do FIN7 presos: Em agosto deste ano, o Departamento de Justiça dos EUA indiciou três indivíduos ucranianos suspeitos de serem integrantes do FIN7: Dmytro Fedorov, Fedir Hladyr e Andrii Kopakov.
Supostamente, os três homens tinham funções de alto escalão no FIN7.
• A adoção maior de cartões com chip e PIN pelas operadoras de cartões de pagamento reduziu a disponibilidade de informações de cartões “utilizáveis” no mercado criminoso.
Os especialistas da MATI da Symantec acreditam que o preço do acesso não autorizado a PDVs vai cair, enquanto as informações roubadas de cartões de pagamento vão aumentar de valor devido a sua escassez.
Ataques de formjacking a PDVs em 2018
Um novo grupo denominado Fleahopper atua em PDV há pelo menos um ano, que rouba informações de máquinas infectadas que operam software de PDV.
Na última metade de 2018, a Symantec observou o Fleahopper usando a botnet Necurs e e-mails de spam para infectar vítimas, que transmitem malware com arquivos .pub da Microsoft maliciosos.
Esses arquivos fazem o download de um instalador, o Trojan.FlawedAmmyy, uma versão modificada da ferramenta de acesso remoto, disponível publicamente, chamada Ammyy Admin (Remacc.Ammyy).
Depois de comprometer uma organização, o Fleahopper instala um arquivo legítimo, mas modificado, de protocolo RDP (acesso remoto) em máquinas infectadas que operam software de PDV.
Isso oferece ao grupo um acesso à área de trabalho remota da máquina infectada, que é separado do acesso por meio de malware. Por enquanto os ataques se concentram nos EUA e no Reino Unido.
Foram observados ainda outros malwares de PDV sendo usados por vários grupos em 2018: RtPOS, Prilex, LusyPOS, LockPOS, GratefulPOS e FindPOS.
Formjacking
A Symantec publicou uma pesquisa sobre formjacking no fim de setembro de 2018, depois de uma série de ataques de destaque do grupo Magecart. Entre os alvos do Magecart estiveram a Ticketmaster no Reino Unido, a British Airways, Feedify e Newegg.
Um dos seus alvos mais recentes foi o varejista britânico de kits de eletrônica Kitronik.
Formjacking é uso de códigos JavaScript maliciosos para roubar dados de cartão de crédito e outras informações de formulários de pagamento, nas páginas de finalização de compra de sites de e-commerce.
Essa técnica não é nova, mas na última metade de 2018, ela chamou muita atenção devido a algumas campanhas grandes, muitas das quais executadas pelo Magecart.
Quando um cliente de um site de e-commerce clica em “Enviar” ou no botão equivalente depois de inserir seus dados no formulário de pagamento de um site, o código JavaScript malicioso coleta todas as informações inseridas, como dados do cartão de pagamento e o nome e endereço do usuário.
Essas tentativas de formjacking visam uma ampla gama de sites de e-commerce, incluindo um varejista de moda no Sudeste Asiático e outro na Austrália, um site de vendas de joalheria nos EUA e outra loja dos EUA especializada em equipamentos para atividades ao ar livre.
Também estavam entre os alvos, os fornecedores de equipamentos para dentistas e lojas online de equipamento de jardinagem.
Em alguns casos, o Magecart usou ataques de logística para obter acesso aos sites visados e executar esses ataques de formjacking.
Os agressores injetaram código JavaScript malicioso no site da Ticketmaster depois de comprometerem um bot de bate-papo da firma de tecnologia Inbenta, que era usado no atendimento ao cliente em sites da empresa, por exemplo.
Então, o Magecart pôde alterar o código JavaScript dos sites da Ticketmaster para capturar dados de cartões de pagamento dos clientes e enviá-los a seus servidores.
Desde então, o pesquisador holandês de segurança Willem de Groot descobriu que o Magecart também está explorando vulnerabilidades não corrigidas em 21 extensões da Magento, usadas por lojas online para obter acesso a sites.
A Magento é uma plataforma de código aberto para e-commerce. O Magecart está usando uma série de caminhos de URL para sondar lojas Magento em busca de extensões vulneráveis e injetar seu código malicioso nos sites.
Conforme a época de compras de fim de ano se aproxima, é provável que vejamos um aumento das atividades dos agentes maliciosos para roubar dados dos cartões de pagamento de clientes, tanto online quanto em lojas de varejo no mundo todo.
Práticas recomendadas para varejistas
Formjacking
As vítimas de formjacking não podem perceber o ataque, pois geralmente seus sites continuam operando normalmente e agressores como o Magecart são sofisticados e furtivos, tomando medidas para evitar a detecção.
Os donos de sites devem estar cientes dos perigos dos ataques de logística de software, pois eles foram usados como o vetor de infecção em alguns desses ataques de formjacking.
Pode ser difícil se proteger de ataques de logística de software, mas há algumas medidas que os donos de sites podem tomar:
• Teste antes as atualizações novas em ambientes pequenos de teste ou sandboxes, mesmo que pareçam legítimas, para detectar qualquer comportamento suspeito;
• O monitoramento comportamental de todas as atividades em um sistema também pode ajudar a identificar padrões indesejados e bloquear um aplicativo suspeito, antes que qualquer dano ocorra;
• Os produtores de pacotes de software devem garantir que possam detectar alterações indesejadas no processo de atualização de software, em seus sites;
• Os donos de sites também devem usar políticas de segurança de conteúdo com tags Subresource Integrity (SRI) para bloquear qualquer script terceirizado integrado.
Ponto de venda
• Instale e mantenha um firewall para facilitar a segmentação de rede;
• Altere senhas padrão de sistema e outros parâmetros de segurança;
• Criptografe a transmissão de dados de titulares de cartão em redes abertas e públicas;
• Use software de segurança e o atualize regularmente;
• Use autenticação forte, incluindo a autenticação de dois fatores, para sistemas remotos;
• Teste sistemas de segurança, realize testes de penetração e implemente um programa de gerenciamento de vulnerabilidades;
• Mantenha políticas de segurança e implemente treinamentos regulares para todo o pessoal;
• Implemente tecnologias de chip e PIN em seu negócio;
• Implemente software de monitoramento e integridade de sistema para aproveitar recursos como bloqueio de sistema, controle de aplicativos ou listas de aprovação (whitelisting);
Práticas recomendadas para consumidores
• Monitore suas faturas de cartão de crédito em busca de qualquer transação suspeita.
• Compre apenas em lojas e sites seguros e bem conhecidos, que tenham mais probabilidade de aplicar boas medidas de segurança.
No entanto, até mesmo lojas bem conhecidas são vítimas de criminosos cibernéticos.