image

6700 webwinkels besmet met malware die creditcarddata steelt

zaterdag 3 december 2016, 08:58 door Redactie, 5 reacties

Wereldwijd zijn er 6700 webwinkels besmet met malware genaamd Visbot die creditcardgegevens steelt. Dat ontdekte de Nederlandse beveiligingsonderzoeker Willem de Groot. De malware is al sinds maart 2015 in omloop en nestelt zich in de code die op de server draait. Dit maakt Visbot veel lastiger te detecteren dan andere malware die webwinkels infecteert om creditcardgegevens te stelen, aldus De Groot.

Visbot injecteert zichzelf in de bestaande code van de website en blijft in slaaptoestand totdat het detecteert dat een bezoeker data heeft ingevoerd, zoals een bestelling of wachtwoord. De ingevoerde data wordt vervolgens versleuteld en in een zogenaamde afbeelding opgeslagen. Deze "afbeelding" wordt later door de aanvallers gedownload. Volgens De Groot is dit een slimme werkwijze, aangezien webwinkels meestal over een groot aantal afbeeldingen beschikken. Het downloaden van een bestand valt dan ook niet op. Daarnaast zorgt het versleutelen van de data ervoor dat concurrerende criminelen de inhoud niet kunnen inzien.

Hoewel Visbot goed is verborgen heeft de ontwikkelaar van de malware een functie toegevoegd zodat hij kan zien of de malware nog actief is. Deze functie is op afstand aan te roepen en liet De Groot het aantal besmette webwinkels in kaart brengen. De webwinkels in kwestie draaien allemaal op Magento, populaire software voor webshops. Het komt regelmatig voor dat Magento-webwinkels worden gehackt omdat de eigenaren belangrijke beveiligingsupdates niet hebben geïnstalleerd. Zo ontdekte De Groot eerder al 5900 gehackte webwinkels waar creditcardgegevens werden gestolen, waaronder ook 250 Nederlandse webshops. De Groot heeft verschillende CERTS en providers over de besmette webwinkels ingelicht.

Reacties (5)
03-12-2016, 09:39 door Anoniem
De meest voor de hand liggende oplossing op dit moment hiertegen lijkt de ontwikkeling van de dynamische CVV code op de creditkaart te zijn. Google maar eens op : Motion Code bank cards
03-12-2016, 12:25 door Anoniem
De meest voor de hand liggende optie is zeker niet een dure en onhandige oplossing zoals een dynamische cvv code, maar het gebruik van de ecode zoals ics die implementeert. Het is feitelijk een 2e factor.
03-12-2016, 15:19 door [Account Verwijderd]
[Verwijderd]
05-12-2016, 10:29 door Anoniem
Goede zaken voor het nieuwe mangento hosting en security bedrijf van Willem de Groot, en gratis reclame op security.nl
05-12-2016, 12:31 door Anoniem
Allemaal tot je dienst. Je moet je veilig voelen op de client. Goed opgemerkt, klanten veilig laten webshoppen met een veilige betaalmethode, maar wat dan met de algemene beveiligingssituatie van een overgroot deel van de websites?

Ook heel veel websites van webshops, die niet direct kwetsbaar of onveilig zijn, kunnen elk moment dit wel worden.
Andere software voor de medewerkers en een heleboel narigheid voor de klanten met retour-aankopen (recent bij ANWB winkel, zo vreselijk jammer en onnodig, want een fijne webshop en een leuke zaak met prima eerste klas spul).

Zou je de onveiligheidssituatie op het Interweb transporteren naar de openbare weg, wie zou er dan nog de weg op durven? Zou een leuk circus te zien geven. Sinterklaas kwam vandaag nooit meer thuis.

En iedereen laat het maar liggen. Hoe kun je een webshop laten functioneren die met WYSIWYG in elkaar is geknutseld? Waar degene die er over gaat of moet gaan, geen bal verstand van heeft.

Zo kan het toch niet langer?

En we leiden zelfs nog steeds developers op met een heel mager portie beveiligingskennis in hun ransel. Ik begrijp wel dat dit voor uitbuiters en graaiers een prachtige situatie is. A free for all on the Wild West Web, the sheriff does not function. Criminals and psychopaths rule, big money to gain and more and more and more.......

De een houdt je dom, de ander arm of laat je minder verdienen

Doe bij een willekeurige webshop op de Willem de Groot lijst eens een scannetje bij MageReport dot com en je schrikt je al rot. Geen standaarden, geen eisen, geen updates en patches, script code nog variabeler als Engelse drop en soms oud uit de doos. Geen best practices, niet optimaal veilige cloud, pretcertificaatje, ho maar!

Doe een validatie scannetje, zoek een kwetsbaarheid en exploit via een dorkje of een shodannetje bij de zwakste schakel in de website code en een script kiddie met een automatisch scriptje kan de was doen.

Waar zijn we toch mee bezig, mensen? Ben ik de enige, die het niet begrijpt? Nog een wonder dat het in veel gevallen nog zo goed gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.