Formjacking

El número y la variedad de amenazas cibernéticas que enfrentan las empresas está creciendo todo el tiempo. Y ocasionalmente puede parecer un gran desafío simplemente mantenerse al día con lo que hay, y mucho menos poner en marcha planes para hacer frente a lo que vendrá mañana.

Ransomware, ataques de inyección SQL, spear-phishing. La lista parece interminable. Pero si bien ya debes conocer algunas de las amenazas más familiares que buscan obtener acceso a tu red, ¿consideras que tu página web es segura?

Un estudio reciente reveló que el año pasado se robaron más de cinco mil millones de registros en ataques cibernéticos, con aproximadamente 6.500 infracciones registradas. De estos, el 39% de los registros robados fueron el resultado de filtraciones basadas en la web.

Una de las mayores amenazas que enfrentan los sitios web en este momento es el robo de formularios.

Las empresas luchan incansablemente contra la amenaza de los ciberataques. Y aunque el formjacking no es nuevo, la cantidad de incidentes ha explotado en los últimos tiempos.

Entonces, en primer lugar, ¿qué es el robo de formularios y cómo puedes evitar que perjudique a tus clientes? Aquí te lo contamos.

¿Que es el Formjacking?

Formjacking implica que los piratas informáticos colocan código JavaScript malicioso en un sitio web, generalmente un sitio de comercio electrónico donde se espera que un usuario ingrese datos personales, que pueden interceptar y copiar cualquier información que se ingrese.

Pueden considerarse la versión en línea de skimmers que los delincuentes a veces usan para recopilar datos de tarjetas de crédito en cajeros automáticos. O alguien que mira por encima del hombro y anota lo que ingresas.

La táctica es esencialmente un proceso de tres etapas.

En primer lugar, un atacante obtiene acceso al código subyacente de un sitio web e inserta el script malicioso en una página web específica, que generalmente formará parte de la sección de pago de un sitio. Luego, cuando un usuario desprevenido visita esa página para realizar una compra, ingresa sus datos, incluida la información financiera.

Por último, al pulsar enviar, los datos se envían al sitio web del comerciante para su procesamiento. Pero también se crea una copia adicional de los datos, a la que accede directamente el hacker.

Así, tienen acceso a todo lo que necesitan para cometer fraude o robo de identidad, incluido el nombre, la dirección, los datos de contacto de una persona. Y, de manera crucial, los detalles completos de la tarjeta de crédito.

Amenaza en aumento

Si bien el secuestro de formularios no es una nueva amenaza, la cantidad de incidentes se ha disparado recientemente. En 2018 se detectaron y bloqueó más de 3.7 millones de intentos de secuestro de formularios en 2018. Y un tercio de estos ocurrieron en la temporada de compras de vacaciones.

La firma de seguridad dijo que esto se ha convertido en el nuevo esquema de «hacerse rico rápidamente» para los ciberdelincuentes. En 2018 se robaron decenas de millones de dólares como resultado directo de esta actividad.

Solo diez tarjetas de crédito robadas de cada sitio web comprometido podrían dar como resultado un rendimiento de hasta 2.2 millones de dólares cada mes.

Una de las principales razones de este auge de la popularidad entre los piratas informáticos es que les brinda un fácil acceso a todo lo que necesitan para robar dinero en un solo lugar. El pirateo de formularios proporciona acceso completo a información más valiosa, como los números CVV, que a menudo son esenciales para realizar compras en línea, ya que proporcionan una capa adicional de protección.

La mayoría de los comerciantes en línea no almacenan esta información, o al menos tienen información valiosa en bases de datos separadas, para limitar el riesgo de una posible violación. Sin embargo, el pirateo de formularios permite a los hackers eludir estas salvaguardas mediante la recopilación de detalles completos en el momento en que los consumidores ingresan en ellas.

El crecimiento en el número de ataques de formjacking también puede explicarse por el valor cada vez menor de las criptomonedas. Esto convenció a los piratas informáticos que anteriormente usaban sitios web comprometidos para cryptojacking para cambiar a robar tarjetas de crédito para obtener márgenes de ganancias más altos de decenas de millones de dólares.

¿A quién se dirige?

Uno de los objetivos de perfil más alto de la creación de formularios en los últimos tiempos fue el hackeo de British Airways en 2018. La inserción de código malicioso en el sitio web de la compañía, que se cree que se colocó en el sistema de pago de terceros del sitio, no se detectó durante meses y afectó a alrededor de 380,000 transacciones. Con este ataque por sí solo los piratas informáticos podrían haber obtenido hasta 17 millones de dólares.

Se creía que el incidente de British Airways era el trabajo de un grupo de hackers llamado Magecart, que también se ha dirigido a otros grandes sitios web de comercio electrónico, incluidos Ticketmaster y Newegg. Aunque los ataques a las grandes empresas son los que suelen aparecer en los medios de comunicación por el número de personas afectadas, no significa que sean los únicos objetivos.

De hecho, los comerciantes pequeños y medianos están en mayor riesgo. Durante un período de tres días en septiembre pasado, se identificaron 1,000 intentos de secuestro de formularios en 57 sitios web, desde un minorista de moda australiano hasta un proveedor francés de accesorios para exteriores.

Por lo tanto, cualquier organización que haga negocios en línea podría estar en riesgo.

¿Cómo detectar el Formjacking?

Otro factor que los piratas informáticos pueden aprovechar es que el pirateo de formularios puede ser muy difícil de detectar para los usuarios finales.

Si bien a los consumidores se les ha enseñado durante mucho tiempo a verificar la identidad de cualquier página web en la que ingresan datos personales. Y solo usar aquellos que están certificados como seguros usando HTTPS. Pero una página que ha sido comprometida por el secuestro de formularios pasará todas estas verificaciones, por lo que incluso la mayoría de compradores conscientes de la seguridad pueden ser el objetivo.

Dado que una persona ingresa sus datos en un sitio web legítimo, que parece completamente inalterado para el usuario final, y el minorista sigue recibiendo los detalles correctos sin modificaciones, a menudo simplemente no es posible que un cliente sepa si el formulario está el uso ha sido comprometido. Por lo tanto, depende de los propios comerciantes asegurar sus sitios web.

Sin embargo, esto puede ser más fácil decirlo que hacerlo.

Muchos ataques de secuestro de formularios más grandes y profesionales toman medidas activas para evadir la detección.

El grupo Magecart, por ejemplo, creó dominios web falsificados diseñados para parecerse a los de la compañía legítima. e incluso compró certificados SSL de pago de Comodo para que parecieran más servidores legítimos.

¿Cómo prevenirlo?

Esto no significa que las empresas estén indefensas para evitar el robo de formularios, ya que todavía hay pasos para reducir su riesgo.

La mejor solución es garantizar que el código malicioso no se pueda agregar en primer lugar. Por eso, uno de los primeros pasos que debe seguir cualquier comerciante en línea es asegurarse de tener un sistema de detección y prevención de intrusos efectivo y actualizado.

Esto debería ser capaz de identificar cualquier cambio no autorizado en el código de un sitio web que pueda ser un signo de un ataque de formjacking. Y bloquear proactivamente los cambios.

Sin embargo, no es suficiente solo bloquear sus propios sistemas. Muchos ataques de formjacking en realidad se originan en terceros, con la cadena de suministro de software a menudo utilizada como el punto de infección principal.

Dirigirse a estas empresas es particularmente útil para los piratas informáticos que desean obtener acceso a empresas más grandes con defensas de seguridad avanzadas. Los proveedores más pequeños son empresas que no tienen los mismos recursos de seguridad que sus clientes más grandes. Y pueden ser un objetivo más fácil con más vulnerabilidades potenciales.

Para contrarrestar esto, se recomienda probar cada nueva actualización, incluso las más pequeñas y aparentemente más legítimas, en entornos de prueba antes de que se activen para detectar cualquier comportamiento extraño. Esto debería estar respaldado por el monitoreo continuo del comportamiento de todas las actividades en un sistema. Con ello se podrán identificar patrones no deseados y permitir a las empresas bloquear cualquier cosa sospechosa antes de que se pueda hacer daño.

Con las defensas adecuadas, puedes asegurarte de que tu sitio web esté libre de cualquier código no deseado que ponga en riesgo a tus clientes. Eso es esencial para proteger tus ingresos y tu reputación.

Medidas de seguridad

Para evitar ser víctima de formjacking puedes adoptar las siguientes medidas de seguridad:

  • Implementa etiquetas de integridad de recursos secundarios (SRI). Las etiquetas SRI usan hashes criptográficos con los que se garantiza que los archivos obtenidos de las aplicaciones web y los documentos web no incluyen contenido inesperado que pueda advertir de su manipulación por un tercero malicioso, como un código adicional.
  • Monitoriza el tráfico saliente de tu sitio. Si observas que los datos del formulario son transferidos a un lugar desconocido o extraño, tu web podría ser víctima de formjacking.
  • Asegura tu cadena de suministro. Los piratas informáticos a menudo insertan malware de formjacking en los sitios al comprometer a los desarrolladores de aplicaciones de terceros, especialmente los procesadores de pago. Pero también los chatbots, los cuestionarios y otras aplicaciones web comunes. Habla con un experto en ciberseguridad sobre soluciones para probar actualizaciones de software y escanear tu sitio web en busca de cambios inesperados en el código.
  • Crea un inventario web de aplicaciones web. Esto debe incluir una auditoría exhaustiva del contenido de terceros. El proceso es complicado debido a que los terceros generalmente se vinculan a sitios web adicionales y una tendencia a controles de seguridad deficientes.
  • Parchea todos los sistemas y aplicaciones. Aunque el parcheo no necesariamente arreglará fallos en el contenido de terceros, hace que sea más difícil para los atacantes escalar desde un punto de apoyo inicial a un compromiso sustantivo.
  • Escanea vulnerabilidades. Es importante ejecutar escaneos externos para obtener una visión de los piratas informáticos de la situación.
  • Monitoriza los cambios de código. Independientemente de dónde esté alojado el código, es importante ganar más visibilidad, aunque surjan nuevas vulnerabilidades.
  • Implementa la autenticación multifactorial. La autenticación multifactor debe implementarse en cualquier sistema que se conecte a activos de alto impacto. La inyección a menudo se usa para omitir la autenticación para acceder al código del servidor web.

Conclusión

Pocos comerciantes entran en el negocio de comercio electrónico pensando que van a tener que convertirse en expertos en seguridad cibernética. Pero la realidad es que si deseas proteger a tus clientes y tu negocio de las amenazas tecnológicas en constante evolución, debes mantenerte informado y educado sobre todos los esquemas y malware más nuevos y desagradables que los estafadores siguen inventando.

El fraude que no se controla sigue creciendo y es un problema que puede destruir todo su negocio. Los estafadores comparten consejos entre ellos, y cuando saben que un sitio web en particular es vulnerable, lo atacarán repetidamente durante el mayor tiempo posible.

Es probable que cada cargo fraudulento que pasa se convierta en una devolución de cargo, y una vez que su tasa de devolución de cargo comience a subir y las tarifas comiencen a aumentar, puede ser muy difícil recuperarse.

Ármate de conocimiento para poder enfrentar el fraude de frente y detenerlo antes de que se vuelva abrumador. Y no olvides pedir ayuda a los expertos cuando lo necesites.