Invulformulieren steeds populairder bij hackers

Gepubliceerd op 7 september 2019 om 12:23

Online formulieren zoals 'login velden' en 'winkelmandjes' worden steeds vaker misbruikt door cybercriminelen om persoonlijke gegevens te achterhalen. Formjacking is uitgegroeid tot één van de meest gebruikte tactieken.

Voorbeelden van invulformulieren

Dit blijkt uit onderzoek van 'F5 Labs' naar 760 datalekken. Bij formjacking wordt data van de webbrowser verplaatst naar een locatie die door een aanvaller wordt beheerd. In het F5 Labs Application Report bleek dat in 2018 in 71 procent van alle geanalyseerde, webgerelateerde datalekken formjacking de belangrijkste aanleiding was. Dit jaar waren er al 83 incidenten gericht op betaalformulieren, waarbij formjacking een rol speelde. In totaal werden hierdoor 1.396.969 betaalkaarten geraakt.

Formjacking echt schrikbarend toegenomen

"De afgelopen twee jaar is formjacking echt schrikbarend toegenomen", aldus Dennis de Leest, security engineer en security trendwatcher bij F5. "Web applicaties besteden steeds meer onderdelen van hun code, zoals winkelmandjes en betaalkaartsystemen, uit aan derden. Ontwikkelaars maken gebruik van geïmporteerde code-bibliotheken of koppelen de app direct aan gehoste scripts van een derde partij. Hierdoor heb je minder zicht en controle erop. Bovendien maken veel websites gebruik van dezelfde bronnen, zodat cybercriminelen met één gevonden zwakke plek op heel veel locaties toe kunnen slaan."

Van de succesvolle aanvallen vond 49 procent plaats in de retail, 14 procent in de zakelijke dienstverlening en 11 procent in productie-omgevingen. De transportsector had het meeste last van formjacking gericht op persoonlijke financiële informatie, met in totaal 60 procent van de creditcardgegevens diefstallen in de onderzoeksperiode.

Formjacking aanvallen per sector

Groeiend probleem

Hoewel dit soort injectie tactieken niet nieuw zijn, is F5 Labs wel van mening dat het een groeiend probleem is. Met name omdat IT-ontwikkelingen zorgen voor nieuwe risico's en een grotere 'attack surface' (de kwetsbare delen van uw infrastructuur). Volgens de Exploit Database maakte 11 procent van de ontdekte lekken in 2018 onderdeel uit van een formjacking aanvalsketen, waaronder code-uitvoering op afstand (5,4 procent), bestandstoevoeging (3,8 procent) en CMD uitvoering op afstand (1,1 procent). De Leest: "Het 'injection landschap' verandert naar gelang ons gedrag. Het adequaat detecteren en tegengaan van fouten hierin vraagt een aanpassing van controlemechanismen, niet alleen het repareren van code. Hoe meer code we overdragen aan de derden, hoe minder zicht we erop hebben, en hoe minder controle. Dat moet je zien te voorkomen."

Bron: F5 Labs, executive-people

Het schema toont hoe zowel kwaadaardige code als waardevolle financiële informatie gehackt wordt tijdens een injectie-aanval

Cybercrime tegenmaatregelen Formjacking

  • Zorg voor voorraadbeheer van web applicaties, inclusief een audit van content van derden. Dit proces wordt vaak lastiger door derden die linken naar aanvullende websites met afwijkende security maatregelen.
  • Patch de netwerkomgeving. Dit voorkomt geen fouten in content van derden, maar maakt het wel lastiger om fouten te laten groeien tot problematische proporties. Omdat web injectie zo'n uiteenlopende techniek is, blijft het belangrijk om applicaties te patchen voor bescherming tegen gecompromitteerde software van derden.
  • Vulnerability scanning. CISO's zien al jaren het nut van externe scans in om door het oog van een hacker naar het eigen netwerk te kunnen kijken. Dit wordt nog belangrijker nu er in korte tijd een enorme hoeveelheid content wordt verzameld en gemaakt aan de klantzijde.
  • Monitoren op code veranderingen. Ongeacht waar code gehost wordt, is het van belang om zicht erop te hebben en na te gaan of er veranderingen optreden. Het monitoren van GitHub en AWS S3 en andere native code repositories.
  • Multifactor authenticatie moet op elk systeem met toegang tot waardevolle gegevens worden ingevoerd. Encryptie op de applicatielaag kan een goede aanvulling zijn op TLS/SSL om de vertrouwelijkheid op browserniveau te handhaven. Verschillende web applicatie firewalls kunnen dit regelen. Advanced WAF kunnen echter een stap verder gaan en zichtbaarheid en controle geven in de applicatielaag om injection risico's verder in te dammen.
  • Onderzoek de mogelijkheden van server software tool, zoals het opzetten van een Content Security Policy (CSP) om alle ongeautoriseerde code-injecties te blokkeren. SubResource Integrity (SRI) web methodes kunnen verifiëren of apps van derden niet aangepast zijn.
  • Monitoren van nieuwe registraties van domeinen en certificaten, omdat deze vaak worden gebruikt om kwaadaardige scripts te hosten die geautoriseerd lijken te zijn.

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.