Formjacking è il termine che gli esperti di sicurezza hanno coniato per descrivere una nuova e pericolosa tipologia di attacchi indirizzata ai form di siti e-commerce e/o portali in cui è richiesto l’inserimento dei dati di una carta di credito.
Secondo gli analisti della nota azienda Symantec, lo scorso anno il numero d’attacchi formjacking è aumentato esponenzialmente (quasi 4 milioni di tentativi bloccati dalla compagnia) fino a toccare una media di 4800 attacchi al mese. Il periodo di maggiore attività è stato tra novembre e dicembre, il periodo del consumismo di massa per eccellenza in cui trovano spazio “eventi” come il Singles Day (11 novembre), il Black Friday, Cyber Monday e la corsa sfrenata agli acquisti di Natale.
A contribuire al decollo del nuovo trend anche il netto calo dei profitti generati da ransomware e criptojacking – lo sfruttamento, sempre all’insaputa degli utenti, della capacità di calcolo di device e computer vari per la creazione (mining) di criptovalute.
I ransomware, per la prima volta in contrazione (-20%) da sei anni a questa parte, hanno accusato infatti un certo “ritardo tecnologico”. Con questa espressione gli addetti ai lavori intendono dire che gli hacker non si sono adeguati alle mutate abitudini dell’utenza restando legati all’ecosistema Windows: le email, il mezzo ideale per raggiungere i target e diffondere i ransomware, sono sempre più spesso consultate da smartphone e tablet, device che si appoggiano ad Android ed iOS e sono, fortunatamente, immuni ai ransomware ideati per colpire l’OS Microsoft.
Gli attacchi cryptojacking, nonostante rimangano una soluzione abbordabile per i più, a parità di guadagno richiedono il controllo di un maggior numero di macchine, il che ha spostato l’attenzione dei criminali sulle corporation e/o gli enti che si appoggiano a sistemi estremamente potenti (HPC) ma non sono ovviamente semplici da hackerare. Ma in che cosa consiste un attacco formjacking e quanto permette di guadagnare? Lo vediamo nel paragrafo successivo.
Formjacking: modalità d’attacco e potenziali guadagni
L’attacco è relativamente semplice da mettere in atto, il malintenzionato si appoggia ad alcune linee di codice JavaScript malevolo da inserire furtivamente nei form del sito (in gergo injection del codice in una pagina).
Se i più noti brand del mondo e-commerce sono completamente (o quasi) immuni a tali tipologie di attacchi, dispongono infatti di sofisticate contromisure e sono all’occorrenza in grado di risolvere i problemi di sicurezza in breve tempo, lo stesso non si può dire per le piccole e medie imprese, che diventano quindi un obiettivo ideale per il formjacking:
sono divenute un target molto più allettante [e facile da attaccare]. Sebbene [i potenziali incassi non siano paragonabili a quelli ottenibili con i grandi retailer, è possibile monitorare il bersaglio più a lungo ottenendo un consistente numero di credenziali e carte di credito.
In questo ambito gli esponenti di maggior rilievo sono attualmente gli hacker dell’organizzazione Magecart: Symantec ha dichiarato che, nel corso del 2018, i suoi affiliati sono riusciti a portare abilmente a termine oltre 800 attacchi formjacking ai danni di portali e-commerce e soggetti di alto profilo come British Airways e Ticketmaster.
Ma quanto può fruttare un attacco formjacking? Secondo stime conservative dei ricercatori, le “entrate” del 2018 ammontano a decine di milioni di dollari: 10 carte “pregiate” possono fruttare fino a 2 milioni di dollari, in alternativa gli hacker possono effettuare il prelievo dei fondi o vendere i dati delle carte (titolare, pin, CCV, numero etc.) su forum o portali in stile Ebay. Negli affollati bazar del deep web, una singola carta può arrivare a valere anche 45$ dollari.
Fonte: 1.