1200 webshops getroffen door malware die creditcardgegevens steelt
Het afgelopen jaar zijn meer dan 1200 webwinkels besmet geraakt met malware die creditcardgegevens van klanten steelt en terugstuurt naar criminelen, die hier vervolgens mee frauderen. Het gaat ook om Nederlandse webshops, zo laat beveiligingsonderzoeker Max Kersten weten.
Criminelen weten kwaadaardige code aan de betaalpagina van de webshop toe te voegen die de creditcardgegevens van de klant onderschept. Dit is mogelijk door de webwinkel zelf of een derde partij te compromitteren waar de webshop gebruik van maakt. Aan de hand van de domeinen die de criminelen achter deze aanvallen gebruiken om de gestolen creditcarddata naar toe te sturen ontdekte Kersten in totaal 1236 gecompromitteerde webshops.
Het grootste deel hiervan (303) bevindt zich in de Verenigde Staten. 28 webwinkels bevinden zich in Nederland. Er kunnen echter meer Nederlandse webshops tussen zitten, aangezien van 280 winkels de locatie niet kon worden vastgesteld. Hoe de aanvallers toegang tot de webwinkels wisten te krijgen kan Kersten niet met zekerheid zeggen, maar hij vermoedt dat de shopbeheerders hebben nagelaten om beveiligingsupdates te installeren.
Zeventien van de webshops eindigend op .nl waren dit jaar nog besmet. Bij sommige webshops is de malware maandenlang actief voordat die wordt opgemerkt of verwijderd. Internetgebruikers die bij de gecompromitteerde webwinkels hun creditcard hebben gebruikt krijgen van de onderzoeker het advies om een nieuwe creditcard aan te vragen. Daarnaast moet ook andere bij de webwinkels ingevulde informatie als gecompromitteerd worden beschouwd.
Die lijst is er: https://maxkersten.nl/2020/05/06/backtracking-magecart-infections/#raw-results
Waarom is er geen lijst waarop je kunt zien of je daar gewinkeld hebt?
https://maxkersten.nl/2020/05/06/backtracking-magecart-infections/#raw-results
Zie: https://obfuscator.io/ & https://github.com/javascript-obfuscator/javascript-obfuscator
Voorbeeld
style="word-wrap: break-word; white-space: pre-wrap;">const a0a = ['woDCpwdbwqXDscKcBk9r',
'PE57Ti8=',
'RUtLw6DCiQ==',
'CMKVwpbDh18=',
'K8K3eCNq',
'DsKkwqXDgcOS',
'w4vCnE9OTw==',
'w5TDsRx8RMOsKMOudcKV',
'w4zCtMOaw63DoynDkhY=',
'w7nDlz9yWg==',
'EMKtMCbCtA==',
'HUV+bBEPwqsnw5cKO8OeRg1gWD3CmQFoVcKVw6diMsKn',
'w4vCvmsKCg==',
'wqPCn8KOwqLChHjCrMKKwrI=',
'GMKzwpjDrHY=', etc.
luntrus
Netcraft kan heel wat achterliggende info geven over een client a.k.a. website en m.n. de (web)server.
MX tools geeft ook wel wat aanvullende info of RECX Security Analyzer scan direct op de betrokken magento webshop site
.
Maar het eenvoudigste is om een Magento webshop adres even hier te scannen: https://www.magereport.com/
In het rapport van Kersten staat:
The availability of the affected web shops is measured by checking if the site was still operational. Using the Way Back Machine, Google, and DuckDuckGo the branch and country could be retrieved for some of the unreachable sites. From the 1236 web shops in total, 70% was reachable.
Hij gebruikte zelf een zoekactie via: https://urlscan.io/, te combineren met shodan.io of dazzlepod.ip scannetje.
Maar zoals gezegd, magereport geeft de juiste informatie met alle updates en patches, die NIET zijn uitgevoerd.
So, look before you leap, betekent hier: scan eer je naar die webshop gaat. Have a nice day,
luntrus
Netcraft kan heel wat achterliggende info geven over een client a.k.a. website en m.n. de (web)server.
MX tools geeft ook wel wat aanvullende info of RECX Security Analyzer scan direct op de betrokken magento webshop site
.
Maar het eenvoudigste is om een Magento webshop adres even hier te scannen: https://www.magereport.com/
In het rapport van Kersten staat:
The availability of the affected web shops is measured by checking if the site was still operational. Using the Way Back Machine, Google, and DuckDuckGo the branch and country could be retrieved for some of the unreachable sites. From the 1236 web shops in total, 70% was reachable.
Hij gebruikte zelf een zoekactie via: https://urlscan.io/, te combineren met shodan.io of dazzlepod.ip scannetje.
Maar zoals gezegd, magereport geeft de juiste informatie met alle updates en patches, die NIET zijn uitgevoerd.
So, look before you leap, betekent hier: scan eer je naar die webshop gaat. Have a nice day,
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
