Mobitekno – Memasuki puncak musim belanja tahun ini, para pebisnis ritel, baik offline maupun online, serta konsumen menghadapi risiko ancaman terhadap keamanan data kartu pembayaran mereka. Jumlah serangan formjacking telah melonjak di tahun 2018, dimana Symantec melakukan pemblokiran terhadap hampir 700.000 upaya pembajakan mulai dari pertengahan September hingga pertengahan November saja.
Disamping itu, ada juga serangan terhadap sistem point-of-sale (PoS) di toko-toko offline tahun ini, meskipun sejauh ini tidak ada satu pun dari serangan tersebut yang dapat dibandingkan dengan pelanggaran data terbesar di awal dekade ini.
Menurut penelitian yang baru-baru ini dilakukan oleh tim Deepsight Managed Adversary dan Threat Intelligence (MATI) dari Symantec di darknet (jalur gelap Internet), para pelaku serangan di dunia bisnis memperjualbelikan akses ke sistem PoS dengan harga mulai dari 12 dolar AS untuk akses administratif ke satu mesin PoS, hingga 60 ribu dollar AS untuk akses ke jaringan perusahaan besar yang berisi ribuan server dan terminal PoS. Sementara itu, tergantung pada kualitasnya, data kartu pembayaran di darknet dijual dengan harga antara 1 hingga 175 dolar AS per kartu.
Teknik yang digunakan oleh para pelaku serangan PoS tetap sama dan tidak berkembang pesat dalam beberapa tahun terakhir, dimana para scammer ini masih menggunakan malware “RAM-scraping” untuk mencuri detail informasi data kartu pembayaran.
Kelompok Penjahat Siber PoS
Dua kelompok penjahat siber yang populer di ranah malware PoS adalah FIN7 dan FIN6. FIN7 adalah salah satu kelompok penjahat siber yang terkenal, yang telah mencuri lebih dari 1 miliar USD dari perusahaan-perusahaan di seluruh dunia. FIN7 menggunakan email spear-phishing canggih guna meyakinkan target untuk mengunduh lampiran yang kemudian menginfeksi jaringan perusahaan mereka dengan malware.
Malware yang digunakan oleh FIN7 biasanya adalah versi khusus dari malware Carbanak, yang telah digunakan dalam beberapa serangan terhadap bank. Perusahaan-perusahaan yang diserang oleh FIN7 meliputi brand-brand ternama seperti Chipotle, Chilli’s, dan Arby’s, di mana kelompok ini diprediksi telah menginfeksi ribuan lokasi bisnis dan telah mencuri jutaan nomor kartu kredit.
Kelompok FIN6 terdeteksi pertama kali pada tahun 2016 ketika kelompok tersebut menggunakan malware backdoor Grabnew dan FrameworkPOS untuk mencuri lebih dari 10 juta rincian informasi kartu kredit. Kelompok ini juga aktif pada tahun 2018 dan terdeteksi mengeksploitasi tool-tool ‘living off the land’, seperti Windows Management Instrumentation Command (WMIC) dan kerangka Metasploit untuk mengeksekusi perintah PowerShell.
Kedua kelompok diyakini telah meraup jutaan dolar dengan menjual rincian informasi data kartu yang mereka curi di pasar darknet, di mana sepertinya pasar Stash Joker merupakan tempat sebagian besar transaksi ini dilakukan.
Formjacking
Ini pertama kali tim Symantec mempublikasikan penelitian tentang formjacking pada akhir September 2018, setelah serentetan serangan terhadap perusahaan-perusahaan ternama oleh kelompok serangan Magecart. Salah satu target Magecart adalah Ticketmaster UK, British Airways, Feedify, dan Newegg. Salah satu target mereka yang terbaru adalah perusahaan ritel kit elektronik yang berbasis di Inggris, Kitronik.
Formjacking adalah istilah yang digunakan untuk menggambarkan penggunaan kode JavaScript berbahaya untuk mencuri detail kartu kredit dan informasi lainnya dari formulir pembayaran pada halaman checkout di situs web e-commerce. Ini bukan teknik baru, tetapi pada paruh kedua tahun 2018, serangan tersebut telah menyita banyak perhatian karena beberapa kampanye besar, yang banyak di antaranya telah dilakukan oleh Magecart.
Penelitian yang baru-baru ini dirilis menyatakan bahwa Magecart bukan hanya satu kelompok, melainkan sekitar tujuh kelompok yang semuanya terlibat dalam kegiatan serupa.
Langkah Pencegahan Terbaik bagi Para Pebisnis Ritel
Korban mungkin tidak menyadari bahwa mereka adalah korban pembajakan karena biasanya situs web yang mereka gunakan terus beroperasi seperti biasa, dan penyerang seperti Magecart sangat canggih dan cerdik, serta mengambil langkah-langkah untuk menghindari deteksi.
Pemilik situs web harus menyadari bahaya dari serangan rantai pasokan ke software karena serangan ini telah digunakan sebagai vektor infeksi dalam beberapa serangan formjacking ini. Serangan rantai pasokan terhadap software ini mungkin sulit untuk dilawan, tetapi ada beberapa langkah pencegahan yang dapat diambil pemilik situs web:
- Lakukan uji coba terhadap pembaruan baru, bahkan yang tampaknya sah, di lingkungan yang kecil atau sandbox terlebih dahulu untuk mendeteksi perilaku yang mencurigakan.
- Pemantauan perilaku semua aktivitas pada sistem juga dapat membantu mengidentifikasi pola yang tidak diinginkan dan memungkinkan Anda untuk memblokir aplikasi yang mencurigakan sebelum kerusakan terjadi.
