Proteja sua organização de ataques “Magecart”

A onda contínua de ataques por grupos cibercriminosos conhecidos pelo termo Magecart ilustra perfeitamente o quão despreparadas muitas operações de e-commerce estão do ponto de vista da segurança. Tudo realmente se resume ao tempo.

Se o mundo do comércio eletrônico fosse capaz de detectar esses ataques do Magecart em questão de segundos (em vez de semanas ou meses), poderíamos ver o fim do Magecart roubando todas as manchetes do cibercrime.

Quais etapas as organizações podem tomar para mitigar esse método de ataque cibernético? Vamos nos aprofundar.

Avalie o seu grau de visibilidade do lado do cliente

Para evitar o retrospecto , a síndrome 20/20 , um primeiro passo importante é entender o quão ciente você está do que seus usuários estão realmente recebendo quando visitam sua plataforma de e-commerce. Você pode pensar que cada usuário obterá uma versão idêntica e segura de seu site quando, na verdade, alguns usuários podem estar interagindo com páginas da web comprometidas e formulários sequestrados.

Você pode ficar surpreso ao saber que nem os proprietários de negócios nem as equipes de segurança parecem ter uma resposta definitiva aqui.

Por muito tempo, houve um destaque na segurança do lado do servidor. Consequentemente, quase tudo o que acontece no lado do cliente (por exemplo, o navegador e o ambiente onde os ataques Magecart prosperam) é geralmente esquecido. Com base nas informações que coletamos de ataques Magecart anteriores, é óbvio que não há uma maneira infalível de prevenir completamente esses tipos de ataques. No entanto, um bom lugar para começar é mudar nosso foco e priorizar o que está acontecendo no lado do cliente.

ataque Magecart médio permanece sem ser detectado por 22 dias e levou apenas 15 dias para que os invasores roubassem 380.000 cartões de crédito durante a violação da British Airways. São 18 cartões de crédito por minuto. É assim que você deve olhar para essa ameaça: cada minuto que passa enquanto há um skimmer não detectado em seu site significa um problema crítico de negócios crescente.

Terceiros são o seu elo mais fraco

Vários grupos Magecart usam estratégias diferentes para violar sites de comércio eletrônico. No entanto, a maioria vai atrás do link de segurança mais fraco: eles evitam violar seus servidores e preferem entregar códigos maliciosos ao seu site por meio de terceiros.

Quase todos os sites usam uma ou mais soluções de terceiros: um widget de chat ao vivo, uma ferramenta de análise ou um serviço de acessibilidade. Ao fazer isso, as empresas acabam tendo quase nenhum controle sobre a segurança desse código de origem externa. Quando os invasores violam um desses terceiros e injetam código malicioso, esse código facilmente ignora os firewalls e os mecanismos de segurança do navegador porque o ataque se origina de uma fonte confiável por padrão – neste caso, um fornecedor terceirizado legítimo.

É fundamental que você se certifique de que sua empresa está examinando o código de terceiros e também o nível de segurança do fornecedor. Infelizmente, porém, isso não é algo que as empresas priorizam, pois estão concentradas no desenvolvimento de produtos.

E embora muitas empresas estejam apenas agora aprendendo sobre os skimmers da web Magecart, esses skimmers estão longe de ser a primeira iteração. Com o tempo, os skimmers evoluíram para incluir técnicas de ofuscação para ocultar seu código malicioso e até mesmo usar mecanismos de defesa para evitar serem detectados por bots, tornando muitas opções de detecção inúteis.

Tomar medidas decisivas para detectar e controlar os skimmers da web Magecart

Uma mentalidade de segurança em constante evolução é necessária aqui. As empresas devem encontrar maneiras de detectar rapidamente esses skimmers injetados e bloquear ataques Magecart rapidamente. Isso é preferível a soluções que evitam injeções de código mal-intencionado (inevitável).

Embora o gerenciamento e a validação de terceiros desempenhem um bom papel, por si só não são suficientes. A chave é procurar comportamentos maliciosos.

Sabemos que um skimmer sempre exibe pelo menos um sinal de atividade maliciosa. Por exemplo, um script conhecido como um chat ao vivo não tem como interagir com um formulário de pagamento (formjacking). Se isso acontecer, é um indicador de que algo pode estar errado. Além disso, se começarmos a ver um novo script aparecendo em algumas sessões de usuário, isso também é algo que merece uma análise mais aprofundada. Claro, pode ser inofensivo – mas também pode ser um skimmer. Da mesma forma, uma solicitação de rede para um domínio anteriormente desconhecido pode ser uma indicação de que os invasores estão tentando exfiltrar dados para seus servidores drop.

É precisamente aqui que a maioria das empresas é deficiente. Não só as empresas carecem de visibilidade do lado do cliente, mas também carecem de recursos de detecção e controle adequados. Tomar medidas decisivas contra o web skimming significa ser capaz de detectar e controlar qualquer atividade maliciosa no lado do cliente em tempo real. Nesse sentido, considere uma solução de monitoramento de página da web, pois traz visibilidade em tempo real do código malicioso e fornece uma abordagem de mitigação Magecart mais eficaz.

Fonte: https://www.helpnetsecurity.com/2020/08/24/protect-your-organization-in-the-age-of-magecart/