2500 webwinkels besmet met code die creditcarddata steelt
Criminelen zijn erin geslaagd om zo'n 2500 webwinkels van kwaadaardige code te voorzien die creditcarddata van klanten steelt, alsmede andere informatie die op de betaalpagina wordt ingevoerd. Een meerderheid van de getroffen winkels draaide een oudere versie van de webshopsoftware Magento.
Dat laat securitybedrijf Group-IB in een analyse weten. De beveiliger ontdekte 38 verschillende families van "JS-sniffers" die door criminelen in de pagina van de webwinkel worden geïnjecteerd. De sniffers onderscheppen de betaalgegevens en sturen die terug naar de aanvallers. Een vorm van cybercrime die ook formjacking wordt genoemd.
Om websites te infecteren maken de aanvallers gebruik van verschillende methodes. Zo hebben ze het voorzien op kwetsbaarheden in populaire webshopplatformen, zoals Magento, OpenCart, WordPress en Shopify. Een andere manier om toegang tot de webwinkel te krijgen is het inloggen op het beheerderspaneel. Dit kan via bruteforce-aanvallen of gestolen wachtwoorden worden gedaan. Als derde methode richten de aanvallers zich op derde partijen waar webwinkels gebruik van maken. Het voordeel hiervan is dat derde partijen vaak op meerdere webshops actief zijn. Zodra de derde partij gecompromitteerd is draait de kwaadaardige code ook op meerdere websites.
De verschillende JS-sniffers die Group-IB ontdekte werden op tenminste 2440 webwinkels aangetroffen, die bij elkaar meer dan 1,5 miljoen bezoekers hebben. 55 procent van de webwinkels was gecompromitteerd door een groep aanvallers die code in oudere versies van Magento injecteert. Dertien procent van de infecties werd veroorzaakt door een groep aanvallers die webwinkels via derde partijen met kwaadaardige scripts besmet.
De JS-sniffers worden voor bedragen tussen de 250 en 5000 dollar op fora voor criminelen aangeboden. Gestolen creditcardgegevens leveren tussen de één en vijf dollar per creditcard op. Beheerders van webwinkels krijgen het advies sterke wachtwoorden te gebruiken en beschikbare beveiligingsupdates te installeren. Tevens wordt aangeraden om het betalen via een apart betaalvenster te laten lopen, dat in een apart iframe zonder third-party scripts wordt geladen.
#nocomment
En op de website en hosters, waar vrij geinjecteerd wordt door deze 38 js-sniffer families is sprake van kwetsbaarheden en soms grote nalatigheid of incompetente onnozelheid. Websites met zoveel DOM-XSS issues en kwetsbare libraries en oudated plug-ins of plug-ins, die zelfs nooit meer onderhouden worden door de oorspronkelijke developer. User enumeration op enabled gezet, directory listing op aan. Verouderde CMS kernel software draaiend.
Lieden, die dit doen en vooral lieden, die hier niet naar kijken of zulke onveiligheid niet van het Internet houden, verdienen niet anders dan dit gebeurt en het zal blijven gebeurem. Gelegenheid maakt immers de cybercrimineel. Eigenlijk zou een site met aperte onveiligheid vanwege onkunde direct door de autoriteiten moeten worden neergehaald, te groot risico voor de consument en de gemeenschap. Misschien leren ze het dan eens af.
PHP ook een lange litanie van kwellingen, wanneer het in handen komt van lieden die de vele pitfalls niet weten te omzeilen, de cheatbooks niet ernaast hebben liggen of waar de boel op de hoster niet door best policies voldoende geborgd is.
"It takes two to tango" (client & webserver), maar het meeste dat je ziet is een slechte klompendans uit de maat.
Word Press, Magenta, Joomla, allemaal PHP-gebaseerde ellende. Leer ontwerpen en echt een website code compileren.
Weet de lengte van een array en wat niet undefined kan blijven. Geef eens Ctrl+Shift+I in op de browser.
Verdiep je eens en blijf niet veredeld prutsen aan "gelikte" rotzooi. WYSIWYG = sh*t in = sh*t out.
luntrus
#nuffsaid
#nuffsaid
IE wordt nergens genoemd. Wat heeft Uber ermee te maken (auto's?). En dat karakter uit de X-Men? Magneto? Dat snap ik helemaal niet.
Hoe lang kaarten we dit al aan. Waarom blijven we op een verschrikkelijk onveilig punt staan? Er gebeurt niets. Het lijkt wel of men niet wil. Kijk naar de gigantische rondslingerende onbeveiligde data van Facebook. Autoriteiten doen niets. Om moedeloos van te worden. Hoe erge chaos wil men laten ontstaan?
luntrus
Hoe lang kaarten we dit al aan. Waarom blijven we op een verschrikkelijk onveilig punt staan? Er gebeurt niets. Het lijkt wel of men niet wil. Kijk naar de gigantische rondslingerende onbeveiligde data van Facebook. Autoriteiten doen niets. Om moedeloos van te worden. Hoe erge chaos wil men laten ontstaan?
luntrus
en andere zeer door mij gewaardeerde forumleden (zonder er eentje te willen vergeten),
Hoe lang blijven wij allen hier nog roependen in de woestijn?
Voelt er dan niemand de noodzaak dat er online iets moet gaan veranderen bij degenen die het Internet bouwen en onderhouden? De mens is wat dat aangaat een raar wezen, doet lange tijd niets als het niet onmiddellijk fout gaat.
Niet patchen en updaten en fouten jagen, tot het spreekwoordelijke kalf is verdronken.
Dan ineens is de wereld te klein.
Dat is de grootste fout in ons primatenkarakter, we roken bijvoorbeeld door tot we klachten krijgen
en dus werken we ook onveilig tot de data weg zijn of er sprake is van een compromittatie of infectie.
Hoe veel ellende heeft dat al veroorzaakt in ons eeuwenlange bestaan.
Hardnekkig spul, die mensheid. Ik hoor er natuurlijk ook bij, maar scan en check wel en rapporteer!
luntrus
en bijvoorbeeld bootstrap.js issues.
Zie: https://webhint.io/scanner/00f8da5d-ff91-4337-ade7-76f45da5e787#category-Security
#sockpuppet
Die cybercriminals zijn de boosdoeners, niet de slachtoffers.
Allemaal tot je dienst, maar die cybercriminelen worden wel door wrakke website developers en "sloppy" onderhoud de kans geboden om hun kwaadaardige JavaScript injecties te kunnen uitvoeren en daarmee succes te hebben.
Hadden de developers beter hun stiel verstaan en had men niet gebruik gemaakt van slecht ondersteunde plug-ins en een op PHP-gebaseerd brak CMS op de gecompromitteerde websites, dan hadden die cybercriminelen toch wat vroeger op moeten staan. Zo ligt het ook wel weer. Leer de developers op de opleidingen betere security maatregelen nemen, leer de webserver admins beter de zaak borgen en voedt ook de slachtoffers achter de browsers op om niet overal op te klikken.
Wanneer wordt security online nu eens eindelijk niet een sluitpost op de begroting van CEO, manager en website eigenaar?
Doen we het niet vaak zelf door voor een dubbeltje op de eerste rang te willen zitten?
Cybercriminelen en kwaadaardige hackers, kwaadwillende staatsacteurs en dergelijke, ik hoop dat men een manier vindt om hen in de kraag te vatten en hun uitvalsbases te sinkholen en neer te halen en zorgen dat deze minkukels iets terug moeten doen voor de maatschappij die ze willens en wetens benadelen. Ze voelen zich nu sterk door de zwakheid van anderen en de zeer geringe pakkans in het cybertheater. Er zijn landen, die het ook nog gedogen, begint er dan maar eens aan, die gasten te vervolgen? Hoe pak je vanuit Holland een scriptkiddie uit Sjanghai aan?
Ik ben elke dag bezig om uit te leggen, waar het met JavaScript fout gaat, of vanwege interactie met een bepaalde extensie waardoor een bepaald urchin.js script de tijd niet krijgt om af te lopen, of een developerfout met een property die niet gelezen kan worden, omdat er iets op een verkeerde manier aangeroepen wordt, waar JavaScript zoals het bedoeld is, niet mee uit de voeten kan en 't niet kan lezen met deze error als gevolg. Als er nooit op mijn activiteiten in deze zelden of ooit gereageerd wordt en met doet het nog steeds niet anders, dan zeg ik op mijn beurt: "Verdienen ze het dan niet een beetje zelf, dat ze door een wat pientere malcreant telkens weer te grazen worden genomen".
Degenen, achter de browser, die het overkomt zijn de onschuldige slachtoffers en dat is soms een hard gelag, zij hebben geen 3 jaar een IT developer opleiding gehad om zulke narigheid niet neer te hoeven plempen, het onder tijddruk ontstane veredelde knip en plak codeerwerk voor te zetten en de malcreanten met door hun code zwakheden te faciliteren.
I rest my case,
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
