Formjacking, המכונה לעתים קרובות גם e-skimming או כרטיס אשראי, היא טקטיקה המשמשת האקרים ורמאים כדי לחטוף טפסי קניות מקוונים במטרה לגנוב מידע אישי ופיננסי מקורבנות בזמן שהם קונים באינטרנט חוקי אתרי קניות.
שורה התחתונה
Formjacking היא הונאה מקוונת חדשה יחסית, לאחר שקיבלה תשומת לב מהזרם המרכזי ב-2018 ו-2019 לאחר שמספר קמעונאים מקוונים גדולים, כמו Target ו-British Airways, נפרצו ופרטי כרטיסי האשראי הפרטיים של מאות אלפי לקוחות היו נגנב.
איך פועלת הונאת הסקימה האלקטרונית?
בניגוד לפריצת מערכת או פרצת נתונים שגונבת מידע שמור, פורספור כרוך בפריצה של חזית חנות מקוונת והצבת קוד JavaScript לטפסים הקשורים לקופה. JavaScript זה מאפשר לבצע את ההזמנה המקוונת כרגיל באתר הפרוץ, אך הוא גם שולח עותק של כל המידע שהוזן של הלקוח, כגון שם, כתובת ופרטי כרטיס אשראי, להאקר.
נוכלים נודעים גם שהם פורצים ספקי עגלות קניות של צד שלישי, מה שמאפשר להם לרפרף בו-זמנית כרטיסי אשראי ומידע בנקאי מחנויות מקוונות שונות בו-זמנית.
ההאקר יכול אז להשתמש במידע שנאסף כדי לבצע הזמנות מקוונות. לעתים קרובות הנתונים יימכרו באינטרנט לגורמים אחרים ועלולים להוביל לכך שהקורבן יהפוך למטרה להונאות מקוונות נוספות בעתיד.
איך רמאים עם רפרפת כרטיסי אשראי מוצאים קורבנות?
עסקים מקוונים גדולים וקטנים כאחד נפלו קורבן לפריצות סקימינג אלקטרוני ונראה שאין סוג מסוים של קונים שממוקדים אליו יותר מאחרים.
ההאקרים מאחורי formjacking מכונים לעתים קרובות כהאקרים של Magecart, על שם התוכנה המשמשת לביצוע פריצות e-skimming. עם זאת, אין ארגון Magecart אחד. אנשים וקבוצות רבים שאינם קשורים מבצעים פריצות אלו.
עסקים מקוונים גדולים מציעים פוטנציאל למספר גדול יותר של קורבנות פורצים, אם כי האתרים שלהם עשויים להיות קשים יותר לפריצה עקב אבטחה מוגברת.
לחנויות מקוונות קטנות יותר, כמו חנויות לאומנויות ואומנות, אולי יש פחות לקוחות, אבל בדרך כלל יש להן פחות אבטחה מאשר ארגונים גדולים יותר ולכן קל יותר לפרוץ אותן. באתרים קטנים יותר, פריצות אלו עלולות להישאר בלתי מזוהות למשך תקופה ארוכה יותר.
איך אני נמנע מלהיות מעורב בהונאה זו?
ישנן מספר דרכים למנוע מעצמכם ליפול קורבן לחטיפת טופס בעת קניות מקוונות.
- השתמש ב-Apple Pay או ב-Google Pay. שני השירותים מסתירים לחלוטין את פרטי כרטיס האשראי שלך בעת ביצוע רכישות מקוונות.
- השתמש ב-PayPal. PayPal ושירותים פיננסיים דומים אחרים מקוונים מוגנים בעיקר מפני פריצת טפסים מכיוון שהם אינם דורשים ממך להזין מידע בנקאי כלשהו.
- שמור את פרטי התשלום שלך באתר. אם פרטי כרטיס האשראי שלך כבר מחוברים לחשבון שלך, לא תצטרך להזין אותם בטופס. המידע הפיננסי שלך עלול להיחשף אם האתר או מסד הנתונים ייפרצו עם זאת.
- בדוק את מצב האבטחה של האתר. אמנם לא ערובה מלאה, אבל אם כתובת האתר של החנות המקוונת מתחילה ב-https, ולא ב-http, זה יכול להצביע על רמת אבטחה מוגברת. סמל מנעול ליד שורת הכתובת מציין גם שאתר משתמש באמצעי זהירות.
- השבת סקריפטים בדפדפן האינטרנט שלך. לרוב דפדפני האינטרנט תהיה אפשרות להשבית JavaScript בהגדרות שלהם. ניתן להשתמש גם בתוספים לדפדפן.
- השתמש בדפדפן אינטרנט ממוקד פרטיות. חלק מהדפדפנים, כגון Brave, מציגים התמקדות חזקה בפרטיות ואבטחה ומשביתים סקריפטים רבים כברירת מחדל.
- בדוק את דפי הבנק שלך. הדרך הקלה ביותר לוודא שהמידע שלך לא נגנב או נמכר באינטרנט היא לבדוק את הדוחות הכספיים שלך על בסיס חודשי עבור כל עסקאות חשודות או חריגות. ייתכן שתרצה גם לפקוח עין על ניקוד האשראי שלך.
אני כבר קורבן. מה עלי לעשות?
אם אתה חושד שנפלת קורבן לרחיפה בכרטיסי אשראי או לסקירה אלקטרונית, הדבר הראשון שעליך לעשות הוא לפנות לבנק או לספק כרטיס האשראי שלך ולהקפיא את כל העסקאות העתידיות.
ספק כרטיס האשראי שלך, בהתאם לסוג הכרטיס שבו אתה משתמש, עשוי גם להיות מסוגל לבטל חיובים חשודים שבוצעו.סביר להניח שתעודדו אותך לקבל כרטיס אשראי חדש, שכן לאחר חשיפת פרטי כרטיס האשראי שלך, כמעט בלתי אפשרי לאבטח אותו מחדש.
אם במקרה גם הזנת את מספר הטלפון שלך לטופס הפרוץ, אתה עלול להפוך למטרה של מספר רב של הונאות טלפון כגון הונאת הקוד של Google Voice, שיחות הונאת ביטוח לאומי והונאת קידומת 833. היזהר מאוד משיחות טלפון חשודות.
ייתכן שתרצה גם ליידע את בעלי האתר שממנו אתה חושד שהמידע שלך נמחק מכיוון שהם עלולים לא להיות מודעים לפריצה כזו.
איך אני נמנע ממיקוד להונאה של Formjacking?
למרבה המזל, הרמאים וההאקרים של פורמטים אינם מכוונים ליחידים, שכן ההונאה כולה מתמקדת בתקיפת אתרים פגיעים. אתה יכול להקטין את הסיכויים שלך ליפול קורבן באתר פרוץ על ידי אי הזנת המידע האישי שלך ופרטי כרטיס האשראי בכל מקום אפשרי וביצוע הטיפים שהוזכרו לעיל.
למרות שמדובר בסוג אחר של הונאה מקוונת, אתה צריך גם לדאוג לא להיות מרומה על ידי אתרים מזויפים שנועדו להיראות בדיוק כמו אתרים רשמיים ונועדו לגנוב את המידע הפיננסי שלך באופן דומה לאופן שבו e- עבודות רחיפה או חטיפת צורה.
