Nieuws

Visa waarschuwt webwinkels voor code die creditcarddata steelt

vrijdag 15 november 2019, 10:53 door Redactie, 5 reacties

Creditcardmaatschappij Visa heeft een waarschuwing afgegeven waarin het webwinkels wijst op malafide JavaScriptcode die creditcardgegevens van klanten steelt. Het gaat om een 'JavaScript-skimmer' die door Visa 'Pipka' wordt genoemd (pdf).

Pipka is al bij zeventien Noord-Amerikaanse webwinkels aangetroffen. Gegevens die klanten op de betaalpagina van de webwinkel invoeren, zoals creditcardnummer, verloopdatum, CVV-code, naam en adresgegevens, worden door Pipka naar de aanvallers gestuurd. "In tegenstelling tot andere JavaScript-skimmers kan Pipka na te zijn uitgevoerd zichzelf van de html van een gecompromitteerde website verwijderen, wat de kans op detectie verkleint", aldus de waarschuwing van Visa.

De creditcardmaatschappij stelt dat het de eerste keer is dat een JavaScript-skimmer zichzelf verwijdert en het een significante ontwikkeling in JavaScript-skimming betreft. Hoe aanvallers de code aan websites toevoegen laat Visa niet weten. Wel doet de creditcardmaatschappij verschillende aanbevelingen, zoals het scannen van websites op kwetsbaarheden, het updaten van software, het gebruik van sterke beheerderswachtwoorden en het beperken van toegang tot het beheerdersportaal.

1Password haalt 200 miljoen dollar op bij investeringsronde

Overheid vraagt Facebook vaker om gegevens van gebruikers

Reacties (5)

15-11-2019, 15:42 door Anoniem

Weer een stap "verder"
Het Internet gaat aan zijn "succes"ten onder.
Wie gaat welke maatregelen nemen om "het tij te keren"?
Ik ga zo langzamerhand denken om alles weer in fysieke winkels te kopen/bestellen.
En bankieren via papier te regelen.
Zeer zorgwekkend.

15-11-2019, 18:59 door Anoniem

Men zal dus cybercriminelen uniek identificeerbaar moeten maken,
met een soort van digitale enkelband,
zodat de pakkans zo vergroot wordt, dat men nog wel twee keer nadenkt
met het lanceren van malware.

Op de manier, waarop het nu gaat, de put weer dempen als het kalf reeds verdronken is,
gaat het inderdaad van kwaad tot erger.

Aan de ene kant dus niet voldoende handhavingsbeleid
en aan de andere kant niet voldoende veilig coderen aanleren en toepassen.

Ziet niemand het dan, dat het zo langzamerhand echt helemaal fout dreigt te gaan.
Klik je als onderzoeker nooit eens Ctrl+Shift+I aan.
Dan zie je toch in developer modus wat er allemaal "onder de moterkap" steeds schever gaat.

Dat kan toch een kind met een beetje JavaScript kennis ontwaren.
Kennelijk is er niemand geinteresseerd. Ego-ego-ego-money-money-money, luidt het credo,

#sockpuppet

15-11-2019, 21:28 door Anoniem

Het advies in de PDF "Closely vet utilized Content Delivery Networks (CDN)" is een bijzondere.

Ze kunnen beter adviseren om Subresource Integrity (SRI) https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity te gebruiken en leveranciers te verplichten dit te ondersteunen. Dan weet je 100% zeker in browsers die het ondersteunen dat het script dat je binnenhaalt ook identiek is aan het script toen je het plaatste.

15-11-2019, 21:46 door Anoniem

Door Anoniem: Weer een stap "verder"
Het Internet gaat aan zijn "succes"ten onder.
Wie gaat welke maatregelen nemen om "het tij te keren"?

Dat is een ontzettend complexe vraag. Samenwerking is de rode draad om tot preventie te komen, maar op het vrije Internet is er niet veel samenwerking. De persoonlijke inspanning om deze ellende te voorkomen ligt tevens ten grondslag aan het tegenovergestelde. Beknotting van vrijheid ofwel beperking van Privacy. In het eerste geval zeer gewenst, in het tweede geval in gelijke impact maar dan omgekeerd evenredig.

Ik ga zo langzamerhand denken om alles weer in fysieke winkels te kopen/bestellen.

Die zijn door ons (de klant) verregaand geruimd. Sarcastisch: we rolden ons toch liever tussen de donuts op de 3-zitsbank met een laptop op Bol of Amazon in plaats op de fiets naar V&D voor onze non-food?!

En bankieren via papier te regelen.

Dat kan bij de meeste banken gelukkig nog wel geregeld worden.

Zeer zorgwekkend.

Daar kan ik me totaal bij aansluiten.

16-11-2019, 12:37 door Anoniem

Wat een aanduiding voor deze Java-Script Skimmer variant?

Het woord - pipka - is bijvoorbeeld in het Pools een vies woord (brzydki wyraz)
voor het vrouwelijk geslachtsdeel, net als de Engelse equivalent, het vierletterwoord,
dat begint met een c... en ons eigen k*tje. (pipka, als diminutief van pipa).
Je zoekt de uitdrukking daar nog tevergeefs in het woordenboek.

Het platvloerse laag-culturele niveau van de gemiddelde cybercrimineel is daarmee weer voldoende aangeduid,
lijkt me zo. Malware verspreiders, het schuim der natie en ander low-life-vormen.

m.vr.gr.

luntrus (3rd party cold recon website security analist en foutenjager).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer