Onderzoekers hebben bij 277 webwinkels besmette advertentiecode aangetroffen die creditcardgegevens van klanten heeft gestolen. Het afgelopen jaar wisten criminelen bij duizenden webshops zogeheten "creditcardskimmers" aan de betaalpagina toe te voegen.

Dit gebeurde doordat de criminelen toegang tot de webwinkels wisten te krijgen of een derde partij compromitteerden waar de webshops gebruik van maakten. Onlangs ontdekten onderzoekers van anti-virusbedrijf Trend Micro bij 277 webwinkels een creditcardskimmer. Het ging volgens de onderzoekers om bekende cosmetica-, gezondheids- en kledingmerken, alsmede ticket-, reis- en vluchtboekingsdiensten. Namen van de getroffen webshops zijn niet openbaar gemaakt.

Verder onderzoek wees uit dat de skimmercode niet direct aan de betaalpagina was toegevoegd, maar aan de code van een advertentiedienst waar de webwinkels gebruik van maakten. Het gaat om Adverline, een Frans online advertentiebedrijf. In het geval van Adverline was de kwaadaardige code toegevoegd aan een JavaScript-library die voor "retargeting" advertenties wordt gebruikt.

Via retargeting kunnen webwinkels bezoekers taggen, zodat die specifieke advertenties te zien krijgen om ze weer naar de webwinkel te krijgen. De aanvallers hadden de JavaScript-library aangepast waardoor die ook een creditcardskimmer bevatte die automatisch werd geladen. Opgevangen creditcardgegevens werden vervolgens naar een remote server gestuurd. Hoe de aanvallers toegang tot de JavaScript-library van Adverline wisten te krijgen is niet bekendgemaakt. De kwaadaardige code is inmiddels door het advertentiebedrijf verwijderd.