Analiza wykorzystująca dane z 760 raportów (Application Protection Report 2019) od F5 Labs wskazuje, że formularze online, jak i strony logowania oraz koszyki zakupów, są coraz częściej przejmowane przez cyberprzestępców polujących na personalne dane finansowe (PFI). Formjacking przesyłający dane z przeglądarki internetowej do lokalizacji kontrolowanej przez atakującego, pozostaje jedną z najczęstszych taktyk ataków. Stanowił aż 71% wszystkich analizowanych naruszeń danych w sieci w 2018, a w ostatnich dwóch latach wybija się na dominującą metodę ataków iniekcyjnych.
Tylko 83 incydenty przypisywane atakom formjacking wpłynęły w 2019 r. na bezpieczeństwo niemal 1,4 mln kart płatniczych. Najwięcej ataków (49%), które zakończyły się powodzeniem, wystąpiło w handlu detalicznym, 14% dotyczyło usług biznesowych zaś 11% skoncentrowało się na sektorze przemysłowym. Branża transportowa była atakowana tą metodą najczęściej (szczególnie personalne dane finansowe), stanowiąc aż 60% wszystkich kradzieży powiązanych z kartami kredytowymi.
Trendowi sprzyja decentralizacja usług i treści internetowych, która zwiększa możliwości ataku, coraz bardziej narażając firmy i konsumentów na kradzież haseł i kart kredytowych.
Formjacking przeżywa w ostatnich dwóch latach eksplozję popularności. Dzieje się tak, ponieważ krytyczne komponenty kodów aplikacji sieciowych (np. koszyki zakupów czy systemy płatności online) są coraz częściej outsourcowane do strony trzeciej. Deweloperzy sieciowi korzystają z bibliotek kodów, a bywa że linkują swoje aplikacje bezpośrednio do skryptów obsługiwanych przez firmy zewnętrzne. W efekcie organizacje stają się bardziej podatne, bo ich kod jest ściągnięty z dziesiątków różnych źródeł. Niemal wszystkie te źródła są poza możliwością kontroli i wykraczają poza zabezpieczenia przedsiębiorstw. Dodajmy, że wiele stron internetowych korzysta z tych samych zasobów zewnętrznych: atakujący wiedzą, że wystarczy dokonać jednej zmiany schematu danych, żeby uzyskać dostęp do ogromnej publi potencjalnych ofiar.
– mówi Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland.
Wprawdzie ataki iniekcyjne nie są nowością, niemniej F5 Labs twierdzi, że pozostaną rosnącym trendem.
Zgodnie z Exploit Database (https://www.exploit-db.com) 11% nowo odkrytych exploitów w 2018 r. utworzyło część łańcucha ataków formjacking, włącznie ze zdalnym wykonaniem kodu (5,4%), dołączaniem plików – arbitrary file inclusion (3,8%) i zdalnym wykonaniem CMD (1,1%).
