Digital Fraud, Data Leakage, Threat Intelligence

Formjacking: o furto de cartões de crédito em sites oficiais

Por André Luiz R. Silva em
COMPARTILHAR

Os gigantes Ticketmaster e British Airways são alguns dos e-commerces recentemente atacados pela (não tão nova) técnica de formjacking. Em resumo, o golpe é a aplicação de um código JavaScript ou PHP malicioso que captura dados de clientes na etapa de checkout. Assim como o phishing, esse tipo de ataque merece atenção pois já é uma das principais causas de vazamentos de números de cartão de crédito – gerando graves prejuízos financeiros e, até mesmo, multas milionárias.

 

O que é e como funciona o formjacking

Em geral, a inserção do código malicioso – que pode ser tanto em PHP quanto em JavaScript – pode ocorrer tanto em sites grandes quanto pequenos. O formjacking acontece de duas formas: a primeira, por ação direta no site alvo. 

A segunda, mais “popular”, é chamada de cross-domain script include e é efetuada por meio de third-party scripts (aplicações de terceiros). Dessa forma, quando infectado, um mesmo script utilizado por milhares de sites pode levar a coletas em massa dos dados.

Uma vez inserido o código, os hackers recebem uma cópia de todos os dados assim que as vítimas clicam em “próximo” ou “enviar” nas páginas de checkout. E tudo acontece de maneira silenciosa para o consumidor, pois a compra segue normalmente após o ato criminoso. É por isso que, muitas vezes, um furto assim pode levar meses até ser descoberto ou aparecer em um vazamento ou venda dos dados.

A tendência é que o cenário fique pior, pois os ataques estão se multiplicando: a Symantec (empresa do antivírus Norton) bloqueou 3,7 milhões desses ataques em 2018 – e mais de 1 milhão somente nos dois últimos meses do ano.

Magecart: grandes ataques e multas milionárias

Foi agora em julho de 2019 que a British Airways foi multada pela GDPR (General Data Protection Regulation) em 183 milhões de libras – aproximadamente US$ 229,2 milhões – pelo vazamento de números completos de cartões de crédito de 500 mil clientes, ocorrido após uma invasão de formjacking em junho de 2018. 

Essa é a maior multa já aplicada pela regulamentação europeia – o que reforça a necessidade de comprometimento e responsabilidade das empresas com os dados de seus clientes.

Os hackers responsáveis pelo vazamento pertencem ao Magecart, que é um grupo de invasores especializados na inserção de códigos maliciosos em e-commerces que utilizam a plataforma Magento, da Adobe, que roda em PHP.

 

Vazamentos de dados: para ficar alerta


Já é sabido que falhas de segurança em códigos (que permitem invasões de hackers) estão estritamente conectadas a vazamentos de dados: as informações obtidas podem ser espalhadas ou vendidas em web superficial e/ou em deep e dark web.

No caso dos ataques web (aqueles que visam invadir sistemas, diferentemente de golpes como o phishing), a empresa de segurança F5 Networks já apontou como é o formjacking o “campeão” da categoria: essa técnica já contabiliza 71% do total de vazamentos de dados oriundos de invasões – além de somar 12% de todos os vazamentos.

 

Proteção: antes ou depois da exposição?


A resposta é: as duas! A área de Application Security (junto com a boa avaliação de todos os third-party scripts utilizados) é extremamente delicada e importante na hora de antecipar problemas e evitar brechas como a da British Airways (e multas). Entretanto, também o monitoramento e reação adequadas são partes indispensáveis da correta gestão de riscos em SI (Segurança da Informação).

E a remediação não deve ser exclusiva do vazamento dos dados em si: basta observar como instruções e/ou códigos que dão acesso às brechas podem estar disponíveis em repositórios colaborativos – e eles podem dar as caras a qualquer momento.

Caso o acesso à brecha ocorra, é então necessário ter uma ferramenta eficiente de monitoramento e reação à exposição dos dados. Em um momento no qual a LGPD (Lei Geral de Proteção de Dados, nº 13.709/2018) está quase em vigor, é importante certificar-se de evitar multas e ter extremo cuidado com riscos digitais. Além disso, o tempo de reação é um outro determinante que pode levar ao achado das falhas nos sistemas, evitando prejuízos mais graves.

A Axur atende empresas que precisam de ajuda na hora de lidar com riscos digitais como vazamentos de dados. Com milhares de BOTs e técnicas de inteligência artificial, escaneamos a web em busca de infrações como essas que você leu acima. Uma solução que pode ser útil para sanar esses problemas é a de phishing. E, para um monitoramento de deep e dark web, veja também nossa solução de Threat Intelligence.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz R. Silva

Jornalista formado pela UFRGS e Content Creator da Axur, responsável pelo Deep Space e por atividades de imprensa. Também já analisei dados e fraudes na equipe de Brand Protection aqui na Axur. Mas, em resumo: meu brilho nos olhos é trabalhar com tecnologia, informação e conhecimento juntos!