Criminelen hebben meer dan honderd webwinkels van malafide code voorzien die de fingerprints van bezoekers steelt, om die vervolgens bij credential stuffing-aanvallen te gebruiken, zo meldt securitybedrijf Group-IB. Bij fingerprinting wordt er naar eigenschappen van het systeem en de browser gekeken om een unieke fingerprint van de gebruiker te maken. Op deze manier kunnen trackers gebruikers over het internet volgen, zonder afhankelijk te zijn van cookies.

Onderzoekers van Group-IB ontdekten meer dan 115 webwinkels die door criminelen waren gecompromitteerd en voorzien van malafide code. De webshops in kwestie draaien allemaal op de webwinkelsoftware Magento. Hoe de aanvallers de webshops konden compromitteren is niet bekend, maar de onderzoekers vermoeden dat er misbruik is gemaakt van twee bekende Magento-kwetsbaarheden (CVE-2024-34102 en CVE-2024-20720) waarmee webshops in het verleden vaker zijn aangevallen. Daarnaast draaien de meeste van de gecompromitteerde webshops Magento 2.3. Deze versie wordt sinds september 2022 niet meer met beveiligingsupdates ondersteund.

De code op de websites verzamelt de fingerprint van bezoekers en stuurt die terug naar de aanvallers. Die gebruiken de informatie vervolgens voor credential stuffing-aanvallen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

De verzamelde fingerprints worden vervolgens gebruikt voor 'fingerprinting spoofing', waardoor het voor de aangevallen websites lijkt alsof een legitieme gebruiker probeert in te loggen, aldus de onderzoekers. Die stellen dat gestolen fingerprints vervelende gevolgen voor legitieme gebruikers kunnen hebben. Wanneer hun fingerprints voor allerlei frauduleuze zaken worden gebruikt kunnen fraudedetectiesystemen ten onrechte legitieme gebruikers op websites blokkeren, aldus Group-IB. Het securitybedrijf adviseert thuisgebruikers om 'privacy-georiënteerde' browsers en extensies te gebruiken die fingerprinting scripts blokkeren.