image

Ruim honderd webwinkels lekken creditcarddata via formjacking

donderdag 9 mei 2019, 11:03 door Redactie, 5 reacties

Bij ruim honderd webwinkels, waaronder ook Nederlandse bedrijven, weten criminelen via formjacking creditcardgegevens van klanten te stelen. Dat stelt securitybedrijf 360Netlab in een analyse. Criminelen hebben op de betaalpagina van de webshops kwaadaardige JavaScript-code weten te plaatsen.

Zodra klanten ervoor kiezen om via creditcard te betalen en hun creditcardgegevens invullen, worden die door de code naar de criminelen gestuurd. De kwaadaardige JavaScript-code wordt geladen vanaf een domein met daarin de naam van Magento, de software waar veel webwinkels gebruik van maken. Het domein werd vorig jaar mei geregistreerd.

Volgens onderzoekers van 360Netlab is de kwaadaardige die vanaf dit domein wordt geladen op 105 webwinkels actief. Zoekmachine PublicWWW stelt dat het inmiddels om 131 sites gaat. De webshops verkopen onder andere luxe goederen, fietsen, babyproducten, wijn en elektronica. Hoe de webwinkels gecompromitteerd zijn geraakt laten de onderzoekers niet weten. Bij soortgelijke aanvallen maakten criminelen gebruik van standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in Magento waarvoor beheerders beschikbare patches niet hadden geïnstalleerd.

Reacties (5)
09-05-2019, 12:19 door Anoniem
Ook andere Magenta webshops blijven min of meer kwetsbaar:
Random voorbeeld: https://www.magereport.com/scan/?s=https://www.maisonbirks.com/
Zie: https://webscan.upguard.com/#/maisonbirks.com
& https://retire.insecurity.today/#!/scan/b362dc5bcf89611d69900f96cf48ecce7566dde5b046f316e1d23b60df5c8177

Letterlijk en figuurlijk is er dus "volop werk aan de winkel",

#sockpuppet
09-05-2019, 14:40 door Anoniem
Ik geloof dat NoScript dat kan fixen. Je kan gewoon javascript toelaten met noscript, want noscript fomjacking is een aparte functie van noscript en die staat continu standaard ingeschakeld. Dat dacht ik toch tenminste? Zeg maar als ik het fout heb.

Denk dat het deze opties zijn:
Sanitize cross-site suspicious requests
Scan uploads for potential cross-site attacks
09-05-2019, 15:31 door Happy Linux User
Is het dan niet handig om een lijst te maken van de webshops, zodat je weet waar je niet moet kopen?
Tevens in die lijst ook aangeven (online of zo) of het probleem gefixt is, anders blijft het negatief.
09-05-2019, 20:01 door Anoniem
@Happy Linux User,

Makkelijk je wilt kant en klare listings. Zat de wereld maar zo simpel in elkaar.
Zo werkt dat niet, vrind, ze zult er een beetje moeite voor moeten doen om het zelf te ontdekken.
Daarom is dat dan ook het exclusieve terrein van security researchers.

Aan de hand van een simpele scan van de in de analyse vermelde javascripts
zijn de inmiddels hopelijk gepatchte script slachtoffers makkelijk te achterhalen;
bijvoorbeeld met een bepaald script als query komen we uit op random example -
: https://urlscan.io/result/353152fb-82e9-4bf9-9c9b-ff9bf9d2e8be/

PublicWWW geeft deze resultaten slechts ongemaskeerd tegen betaling voor researchers.
Zij blokkeert identificeerbaarheid en dat is een verantwoorde manier op dat te doen,
alhoewel en slechts bij publiekelijk toegankelijke bronnen open disclosure de voorkeur verdient.

Je wilt immers nooit verdienen aan andermans ellende, ik niet in ieder geval,
er is al genoeg narigheid op de infrastructuur, zowel op client als webserver etc,
Dat vind ik onethisch gedrag, een klein huppeltje verder en je zit op het terrein van cybercrime & co.

De veel te vroeg overleden searchlores guru F.R.A.V.I.A., waar ondergetekende een adept van is,
stelde terecht dat alle info op Interwebz te achterhalen valt, als je maar weet,
waar je precies naar moet zoeken en met welke query op welke zoekmachine en bij welke bron.

Er zijn zelfs automatische scriptjes in omloop,
die black hats gebruiken op shodan.io
om hun potentiele slachtoffers met kwetsbare code op sites uit te kunnen zoeken.

Een exellent zoeker is vaak menige hacker de baas en m.i. gevaarlijker.

Trouwens hacken mag niet en met "3rd party cold reconnaissance website exploring"
komen we ook nooit op zulke kwetsbare websites zelf.

Voor generieke website security verificatie hoef je dat niet te doen,
in andere gevallen, bij pentesting etc.( dien je expliciete toestemming te hebben
van de website eigenaar of admin en liefst schriftelijk).

Ook moeten in alle andere gevallen de gegevens op de searchsite gevonden publiek en openbaar zijn gemaakt.

#sockpuppet
10-05-2019, 09:36 door Anoniem
Credit cards zijn een bekend zwak punt. Het is gemakkelijk om er mee te betalen, maar dat is nu juist het zwakke. Twee nummers, een datum en een naam en je bent als cybercrimineel in business. Hoewel het verlies in geld meestal wel meevalt (boven een basisbedrag wordt het tot nu toe terugbetaald), is er een risico van reputatieschade, afhankelijk van het doel waarvoor een cybercrimineel de kaart gebruikt (ik noem maar iets, een winkel in Iran, Deense passagiers die onvrijwillig een noodlanding moesten maken kunnen getuigen dat de aantekening "Iran" niet gunstig is voor de vrijheid van reizen, waarbij naar de context niet wordt gekeken.

Tot dusverre lijkt de meest veilige oplossing de prepaid creditcard te zijn. In tegenstelling tot veel legendevorming is deze gewoonlijk niet anoniem, en dat is ook niet per se de meerwaarde. Maar je kan door het saldo laag te houden clandestiene betalingen grotendeels blokkeren voordat ze gebeuren. Als je een betaling wil doen, zet je er voldoende saldo op om die te kunnen doen, en doet onmiddellijk de betaling. Helaas eisen veel Nederlandse aanbieders een koppeling aan een betaalmethode die op zijn beurt ook weer slecht geauthenticeerd is, hetgeen het doel ondergraaft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.