O ransomware chegou às manchetes em 2017, o cryptojacking tornou-se famoso em 2018, então não é nenhuma surpresa que uma nova forma sofisticada de ataque esteja deixando sua marca em 2019. Mantendo-se à frente das tendências e do jogo de segurança, hackers vieram com um novo ataque – sua mais nova arma: o formjacking.
A ameaça
Então, como ele funciona? Formulários são utilizados na maior parte dos sites – coletando informações para fins de marketing, identificando usuários através de verificações de segurança e permitindo transações financeiras. Eles são tão comuns que a maioria dos sistemas operacionais e navegadores permitem que você salve dados sensíveis para serem preenchidos automaticamente em formulários (por exemplo, detalhes do seu cartão de crédito). Formjacking vê pequenas linhas de código JavaScript malicioso injetado em um site com o objetivo de escanear dados. O código é desenvolvido para coletar qualquer informação valiosa colocada em formulários por parte dos usuários.
O Formjacking estava por trás do famoso ataque Magecart, que atingiu vítimas de alto padrão com apenas 22 linhas de código. Dentre os afetados estavam a British Airways, a Ticketmaster, a Delta e a Newegg. Os dados obtidos através deste tipo de hack podem ser vendidos com grande lucro na Deep Web ou outros locais. Se você imaginar que um conjunto de detalhes de cartão de crédito pode ser vendido por cerca de US$ 45,00 por meio do mercado ilegal, é fácil ver como pessoas mal-intencionadas conseguem obter grandes retornos com estas práticas.
Os sistemas comuns de e-commerce e de gerenciamento de conteúdo oferecem uma ampla variedade de extensões e plugins personalizáveis que oferecem aos hackers mais oportunidades de incorporar o código malicioso. Contextualizando, a plataforma de e-commerce Magento, por exemplo, oferece dezenas de extensões, cada uma servindo como uma potencial superfície de ataque.
Para se ter uma ideia de escala destas campanhas maliciosas e o potencial de alcance deste tipo de ataque, em média 50 e-commerces utilizando a plataforma do Magento foram hackeadas todos os dias entre Novembro de 2018 e Fevereiro de 2019, de acordo com algumas estimativas (em 4 meses, pouco mais de 4.500 sites). Infelizmente os vendedores ficam relutantes em compartilhar informações acerca de suas vulnerabilidades com seus clientes devido, em parte, ao medo de manchar sua reputação, e estas são as consequências.
Os usuários têm o hábito de preencher formulários com alguns de seus dados mais privados; senhas de internet banking, códigos de segurança de cartões de crédito, senhas e informações pessoalmente pessoais são todas exigidas como entrada em formulários que os usuários preenchem diariamente. E assim as pessoas criaram a impressão de que formulários da Web (principalmente de marcas confiáveis, como de seu banco) se tratam de interfaces intrinsecamente seguras. Com um ataque de phishing, é possível que os usuários atentos detectem detalhes imprecisos (como um URL falso tentando se passar por uma empresa verídica), mas, com a captura de formulários, a ameaça existe no site original, incorporada no código do formulário oficial. Pior ainda, ao contrário do phishing, o ataque pode acontecer mesmo quando alguém se conecta por meio de um aplicativo móvel autêntico, que é simplesmente outro canal para acessar o site comprometido.
A provável evolução
Os consumidores de hoje exigem uma experiência do cliente rápida e conveniente. Como resultado, estamos experimentando um aumento no desenvolvimento e uso de aplicativos móveis e chatbots. Na maioria dos casos, esses aplicativos móveis são simplesmente um front-end para um aplicativo da web. Consequentemente, eles não são mais seguros do que os aplicativos web padrão e estão começando a se mostrar um vetor de ataque popular para os colecionadores de formulários. Por exemplo, o ataque do ano passado à British Airways que afetou 380.000 clientes foi feito por meio do aplicativo para dispositivos móveis da empresa. Estamos apenas no início do que provavelmente será uma tendência crescente: um surto de ataques de formjacking via aplicativos móveis que expõem uma superfície maior de ataque, já que os usuários têm uma falsa sensação de segurança, acreditando que as transações acontecem dentro de um ambiente seguro, no aplicativo, e não na Internet.
Empresas devem tomar responsabilidade por seus aplicativos mobiles, sejam eles voltados para o consumidor ou para os negócios, e devem ter o cuidado de tornar a segurança uma prioridade para todos os componentes de sua cadeia de valor usando um terceiro.
Outra preocupação é a frequência e diversidade dos ataques de formjacking, indicando que os hackers estão atualizando continuamente seu código malicioso e implementando novos mecanismos de entrega para infectar mais usuários e dificultar a identificação do ataque, por exemplo, limpando as mensagens do console do depurador do navegador.
Enquanto a maior parte dos ataques de formjacking até agora se concentrou em e-commerces, eles podem em breve avançar para outros tipos de dados e formulários conforme as oportunidades venham a se apresentar. Vale lembrar que esse tipo de malware pode segmentar qualquer tipo de dado inserido em um formulário pela Web, incluindo informações de login e detalhes de funcionários. À medida que as empresas progridem em suas estratégias de transformação digital, elas estão desenvolvendo cada vez mais aplicativos por meio de infraestrutura como serviço (IaaS). Isso os torna vulneráveis a ataques que podem atingir qualquer tipo de coleta de dados baseada na web.
A correção. Felizmente para os Diretores de Segurança da Informação há algumas ações simples que podem ser tomadas a fim de mitigar a ameaça de futuros ataques de sequestro de dados de formulários.
O conselho é começar pelo reforço a processos de governança de segurança, que necessariamente incluam todos os elementos de terceiros: plugins e extensões. Outro aspecto importante é garantir que a organização permaneça em dia com patches, fator fundamental quando se trata de eliminação de pontos fracos.
Ao contrário das tradicionais tecnologias locais que não escalam e não conseguem proteger os usuários quando eles acessam os serviços de fora do perímetro corporativo, apenas uma plataforma nativa na nuvem pode efetivamente impedir ameaças nativas na nuvem.
Traduzido e adaptado de ITProPortal. Formjacking: the security nightmare CISOs need to know about. Passeri, Paolo. Disponível em: https://www.itproportal.com/features/formjacking-the-security-nightmare-cisos-need-to-know-about/?utm_source=The+Hack&utm_campaign=09c4a7dc74-THE_HACK_0122&utm_medium=email&utm_term=0_060634743e-09c4a7dc74-206979693 Acesso em 19 de mai. 2019.