2017年是勒索年。2018年的主題是加密劫持。2019年正逐漸形成一個“劫模年”。

比特幣（Bitcoin）和摩納羅（Monero）等加密貨幣的大幅貶值，意味著網絡犯罪分子正在別處尋找欺詐性利潤。還有什麼比直接從產品訂單中竊取銀行信息更好的地方，甚至在你點擊提交之前。是的，他們沒有闖入你的銀行。攻擊者在你的數據還沒到那麼遠的時候就把它拿走了。

以下是你需要知道的關於搶劫的事情。

什麼是壓模(formjacking)？

表格劫持攻擊是網絡犯罪分子直接從電子商務網站截獲你的銀行信息的一種方式。

根據賽門鐵克2019年互聯網安全威脅報告，2018年，formjackers每月入侵4818個獨特網站。在過去的一年裡，賽門鐵克阻止了超過370萬次的表格竊取企圖。

此外，在2018年最後兩個月期間，超過100萬次的搶購企圖出現在11月的黑色星期五週末以及12月的聖誕購物期間。

那麼，劫模攻擊是如何工作的呢？

Formjacking涉及將惡意代碼**電子商務提供商的網站。惡意代碼竊取支付信息，如卡的詳細信息，姓名，和其他個人信息常用的網上購物。被盜的數據被髮送到服務器以供重用或**，受害者不知道他們的支付信息被洩露。

總而言之，這似乎很基本。離它很遠。一名黑客用22行代碼修改了在英國航空公司網站上運行的腳本。攻擊者盜取了38萬張信用卡的詳細資料，在此過程中淨賺1300多萬英鎊。

這就是誘惑。最近針對英國航空公司、TicketMaster UK、Newegg、HomeDepot和Target的高調攻擊有一個共同點：formjacking。

是誰在幕後策劃了搶劫案？

當這麼多獨特的網站成為單一攻擊（或者至少是攻擊類型）的犧牲品時，確定單個攻擊者對安全研究人員來說總是很困難的。與最近的其他網絡犯罪浪潮一樣，沒有單一的犯罪者。取而代之的是，大多數表單劫持源於Magecart組。

這個名字源於黑客組織用來向易受攻擊的電子商務網站注入惡意代碼的軟件。它確實會引起一些混亂，而且你經常看到Magecart被用作描述黑客組織的單一實體。事實上，許多Magecart黑客組織使用不同的技術攻擊不同的目標。

RiskIQ的威脅研究員Yonathan Klijn**a跟蹤了不同的Magecart組。在風險情報公司Flashpoint最近發佈的一份報告中，Klijn**a詳細描述了六個使用Magecart的不同群體，他們用同一個名字來避免被發現。

內部Magecart報告[PDF]探討了每個主要Magecart組的獨特之處：

• 第1組和第2組：攻擊範圍廣泛的目標，使用自動化工具破壞和瀏覽網站；使用複雜的重新裝運方案將被盜數據貨幣化。
• 第三組：非常高的目標量，操作一個獨特的注射器和撇油器。
• 第四組：最高級的組之一，使用一系列模糊處理工具與受害者網站融合。
• 第5組：目標第三方供應商違反多個目標，鏈接到Ticketmaster攻擊。
• 第六組：有選擇地針對價值極高的網站和服務，包括英國航空公司和紐蛋攻擊。

正如你所看到的，這些小組是模糊的，使用不同的技術。此外，Magecart組正在競爭創建一個有效的憑證竊取產品。這些目標是不同的，因為有些團體特別以高價值回報為目標。但大多數情況下，他們是在同一個游泳池裡游泳。（這六個並不是唯一的Magecart組。）

高級組4

RiskIQ的研究論文將第四組列為“高級”組。這在表格劫持中意味著什麼？

第四組試圖融入它正在滲透的網站。第4組不是創建網絡管理員或安全研究人員可能發現的額外意外web流量，而是嘗試生成“自然”流量。它通過註冊域名來做到這一點，“模仿廣告提供商、分析提供商、受害者的域名，以及任何其他幫助他們隱藏在視線中的東西”。

此外，group4還定期更改其skimmer的外觀、url的顯示方式、數據過濾服務器等等。還有更多。

group4formjacking skimmer首先驗證它運行的簽出URL。然後，與所有其他組不同的是，組4 skimmer使用自己的一個支付表單替換支付表單，將skimming表單直接提供給客戶（閱讀：受害者）。替換表單“將要提取的數據標準化”，使其更易於重用或銷售。

RiskIQ的結論是，“這些先進的方法與複雜的基礎設施相結合，表明銀行業惡意軟件生態系統可能有一段歷史。但他們將作案手法轉向了刷卡，因為這比銀行欺詐容易得多。”

團體是如何賺錢的？

大多數時候，被盜的**都是在網上**的。有許多國際和俄羅斯語言的梳理論壇與被盜信用卡和其他銀行信息長名單。他們不是非法的，骯髒的網站類型，你可能會想象。

一些最受歡迎的梳理網站以專業的形象出現——完美的英語、完美的語法、****；你從合法的電子商務網站所期望的一切。

Magecart集團還將他們的套牌軟件轉售給其他可能的網絡罪犯。Flashpoint的分析師在一個俄羅斯黑客論壇上發現了定製的截取模板工具的廣告。這些套件的價格從250美元到5000美元不等，這取決於其複雜性，供應商展示了獨特的定價模式。

例如，一家供應商提供的專業工具的預算版本就是備受矚目的劫模攻擊。

Formjacking團體還提供訪問受損網站的服務，根據網站排名、託管和其他因素，價格最低為0.5美元。同一個熱點分析師發現，在同一個黑客論壇上，約有3000個違規網站在**。

此外，在同一個論壇上還有“十幾個賣家和幾百個買家”。

你怎麼能阻止劫模攻擊？

Magecart formjacking skimmers使用JavaScript開發客戶支付表單。使用基於瀏覽器的腳本攔截器通常足以阻止竊取數據的formjacking攻擊。

• Chrome用戶應該檢查ScriptSafe
• Firefox用戶可以使用NoScript
• Opera用戶可以使用ScriptSafe
• Safari用戶應該查看JSBlocker

一旦你將一個腳本阻止擴展添加到瀏覽器中，你將有更多的保護來抵禦表單劫持攻擊。但這並不完美。

RiskIQ報告建議避免使用與主要站點保護級別不同的小型站點。對英國航空公司、紐蛋和Ticketmaster的攻擊表明，這些建議並不完全正確。不過，不要打折扣。夫妻電子商務網站更有可能承載Magecart表單劫持腳本。

另一個緩解措施是Malwarebytes Premium。Malwarebytes Premium提供實時系統掃描和瀏覽器內保護。高級版本正是針對這種攻擊提供保護。不確定升級？以下是升級到Malwarebytes Premium的五個絕佳理由！