Criminelen skimmen creditcards bij 5900 gehackte webwinkels
Wereldwijd zijn er meer dan 5900 gehackte webwinkels waar criminelen de creditcardgegevens van klanten stelen die afrekenen, waaronder minstens 250 Nederlandse webshops. Terwijl het traditionele skimmen van pinpassen afneemt lijkt het aantal gevallen van online skimming juist toe te nemen.
Dat ontdekte de Nederlandse beveiligingsonderzoeker Willem de Groot. De criminelen hacken de webwinkel en voegen vervolgens kwaadaardige code toe, zonder dat de eigenaren dit doorhebben. Zodra een klant afrekent worden zijn creditcardgegevens en andere persoonlijke informatie naar de criminelen gestuurd, die hier vervolgens mee kunnen frauderen. Volgens De Groot weten de criminelen de webwinkels te hacken via kwetsbaarheden die niet door de eigenaren zijn gepatcht, ook al zijn beveiligingsupdates voor de problemen al geruime tijd beschikbaar.
Vorig jaar november deed De Groot al onderzoek naar online skimming en ontdekte toen 3500 gehackte winkels. Tien maanden later is de teller inmiddels de 5900 gepasseerd. Het gaat onder andere om 250 webwinkels eindigend op .nl. Mogelijk zijn er meer Nederlandse webwinkels gehackt, aangezien Nederlandse shops ook andere extensies kunnen gebruiken. Tenminste 159 gehackte webwinkels draaien op Magento Enterprise Edition, software die alleen door grote webwinkels wordt gebruikt.
Verder bleek dat 754 gehackte webwinkels al sinds vorig jaar zijn gehackt en er nog altijd creditcardgegevens worden gestolen. "Klaarblijkelijk kun je maandenlang ongestoord creditcards skimmen", aldus de Nederlander. De Groot waarschuwde verschillende webwinkels, maar die reageerden onwetend en onverschillig. Zo liet één webwinkel weten dat de shop veilig was omdat er https werd gebruikt. Inmiddels heeft De Groot een lijst van de ruim 5900 gehackte webwinkels online gezet.
Reacties (16)
Flinke kluif voor het CBP als deze webshops inderdaad last hebben van een datalek en ze niet binnen 72 uur een melding maken.
De creditcard met de roterende CVV code, is hier reeds besproken, en is het beste wapen in de maak, om deze manier van fraude te stoppen.
http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/
https://www.security.nl/posting/488028/Roterende+CVV-code+Creditcard
http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/
https://www.security.nl/posting/488028/Roterende+CVV-code+Creditcard
11-10-2016, 20:28 door
karma4
Het is een nieuwe draai aan het woord https://nl.wikipedia.org/wiki/Skimmen. De eerste grote zaak die bekend werd was van Target. Dat betrof pos apparatuur met een duur IDS van Fire-eye. De faal zat in het reageren op de alert (India uitbesteed werk). Als je het over gehackte webwinkels hebt, meest waarschijnlijk niet goed bijhouden en proactief beheer met de monitoring. Dat is de menselijke benadering (falend beleid) als zwakste punt niet de techniek.
Door Anoniem: Flinke kluif voor het CBP als deze webshops inderdaad last hebben van een datalek en ze niet binnen 72 uur een melding maken.
denk niet dat die webshop eigenaren het probleem zien..ik heb die lijst eens bekeken, en de meeste zijn zo klein dat ze waarschijnlijk nog nooit van het College Bescherming Persoonsgegevens hebben gehoord.
Ja de sites worden over het merendeel slecht gemaakt, de software slecht van updates en patches voorzien.
En ook ontbreekt er vaak monitoring van wat er gebeurt.
Kik hier eens voor een willekeurig voorbeeld: https://sitecheck.sucuri.net/results/www.jomso.com
Bij deze scan wordt deze Magento hack compleet gemist.
Je zal er maar voor betaald hebben om je site te laten bewaken door Sucuri.
Goed werk van Willem de Groot, overigens, hulde - hulde - hulde!
Bovenstaand willekeurig voorbeeld van zijn webshop websitelijst eens even door Redleg's Fileviewer gehaald.
Dan komen er nogal wat kwetsbaarheden boven drijven en wordt ook het kwaadaardige geobfusceerde script
in kwestie getraceerd.
Het zwaar geobfusceerde script vanaf lijn 1509 wordt aangegeven als een mogelijke Magento hack:
En ook ontbreekt er vaak monitoring van wat er gebeurt.
Kik hier eens voor een willekeurig voorbeeld: https://sitecheck.sucuri.net/results/www.jomso.com
Bij deze scan wordt deze Magento hack compleet gemist.
Je zal er maar voor betaald hebben om je site te laten bewaken door Sucuri.
Goed werk van Willem de Groot, overigens, hulde - hulde - hulde!
Bovenstaand willekeurig voorbeeld van zijn webshop websitelijst eens even door Redleg's Fileviewer gehaald.
Dan komen er nogal wat kwetsbaarheden boven drijven en wordt ook het kwaadaardige geobfusceerde script
in kwestie getraceerd.
Het zwaar geobfusceerde script vanaf lijn 1509 wordt aangegeven als een mogelijke Magento hack:
Magento sites labeled "this site may be hacked. or This site may harm your computer.".
And as we see with this hack it comes heavily obfuscated. jsunpack ->
"line:4: SyntaxError: missing ; before statement:
error: line:4: Note: This block of obfuscated script looks suspicious."
And as we see with this hack it comes heavily obfuscated. jsunpack ->
"line:4: SyntaxError: missing ; before statement:
error: line:4: Note: This block of obfuscated script looks suspicious."
Inmiddels heeft iedereen dit nieuws overgenomen, maar niemand doet de moeite de 250 NL sites in een apart lijstje te zetten?
Door Anoniem: Inmiddels heeft iedereen dit nieuws overgenomen, maar niemand doet de moeite de 250 NL sites in een apart lijstje te zetten?
.nl voldoet in de zoekbalk ;-)''Vooral kleine webshops in Nederland zouden door de hack zijn getroffen. Grote partijen zoals Bol.com en Coolblue staan niet op de lijst.'' bron: nu.nl
IMHO het meest opzienbarende was dat de Republikeinse senaatsfractie tenminste een half jaar lang geskimmed werd en daar in alle talen over zwijgt. Zie bewijsmateriaal hier (video van broncode): https://gwillem.github.io/2016/10/04/how-republicans-send-your-credit-card-to-russia/
Ons bedrijf is zelf genoemd op deze lijst en nu kunnen wij hier niet meer vanaf komen. Dat is uw probleem zult u misschien zeggen, maar door onderzoek ben ik erachter gekomen dat de auteur van dit artikel (Willem de Groot) eigenaar/oprichter/medewerker is van Byte.nl. Op zich ook geen probleem ware het niet dat er zich op het moment twee zaken voordoen:
1. Ik en anderen worden nu bestookt met email van derde partijen die het probleem wel even op kunnen lossen (al dien niet met een dreigende toon).
2. Ik zie dat de heer Willem de Groot de lijst wel degelijk aanpast (of laat aanpassen) echter zeer selectief. De domeinen gehost door Byte.nl worden namelijk successievelijk van deze lijst verwijderd.
1. Ik en anderen worden nu bestookt met email van derde partijen die het probleem wel even op kunnen lossen (al dien niet met een dreigende toon).
2. Ik zie dat de heer Willem de Groot de lijst wel degelijk aanpast (of laat aanpassen) echter zeer selectief. De domeinen gehost door Byte.nl worden namelijk successievelijk van deze lijst verwijderd.
@anoniem van 16:15 uur.
Ja niet iedereen in beveiligingsland werkt onbevooroordeeld en wie wil niet voor eigen parochie preken?
Of je bent onbevooroordeeld, onafhankelijk, vrijwilliger, amateur, g33k, ergens fanboy van, of platform lid
....of je bent commercieel ingesteld.
De schoorsteen zal bij de heer Willem de Groot ook moeten blijven roken,
zeker nu we binnen een aantal jaren een nieuwe ijstijd hebben te verwachten. ;)
Dus hij zet zichzelf en zijn bedrijf zo in de schijnwerpers en
doet aan acquisitie met als beloning van de lijst af te komen.
Ieder neemt trouwens zijn onderzoek-linkjes over.
Slim online zakenmannetje dus.
Uw webshop site kan u laten scannen via Fetch: http://fetch.scritch.org/%2Bfetch/?url=http%3A%2F%2Feverstylish.com&useragent=Fetch+useragent&accept_encoding=
Een random voorbeeld van een Magento webshop site.
Malware gedetecteerd: https://www.hybrid-analysis.com/sample/8632db958d3d24a21551e80597ccc5672c924794407d973795dd3519339a3330?environmentId=100
Zie ook deze "neutrale" scanner infovan Redleg: https://aw-snap.info/file-viewer/?tgt=http%3A%2F%2Feverstylish.com&ref_sel=GSP2&ua_sel=ff&fs=1
En om te zien hoeverre de beveiliging van deze site in het geding is,
komen toch weer uit bij een scansite van dit Byte.nl bedrijf,
namelijk op MageReport dot com bij: https://www.magereport.com/scan/?s=http://everstylish.com/
Maar er zijn nog andere bedrijven die uw site willen helpen met de beveiligingsproblemen
en voor u willen monitoren, maar de gratis Mage rapporten zijn een goed initiatief.
Maar steek de hand is in eigen boezem. Ga u verdiepen in website beveiliging, lees over protocollen, javascript onveiligheid, security headers, genereer SRI hashes, begin aan CSP, vermijdt excessieve server header proliferatie, exploits, XSS, clickjacking enz. enz.
Er gaat een wereld voor u open. We hebben trouwens hier allemaal onze stack tabelletjes moeten maken.
Of zoek iemand die dat allemaal al weet en u kan helpen.
Ja niet iedereen in beveiligingsland werkt onbevooroordeeld en wie wil niet voor eigen parochie preken?
Of je bent onbevooroordeeld, onafhankelijk, vrijwilliger, amateur, g33k, ergens fanboy van, of platform lid
....of je bent commercieel ingesteld.
De schoorsteen zal bij de heer Willem de Groot ook moeten blijven roken,
zeker nu we binnen een aantal jaren een nieuwe ijstijd hebben te verwachten. ;)
Dus hij zet zichzelf en zijn bedrijf zo in de schijnwerpers en
doet aan acquisitie met als beloning van de lijst af te komen.
Ieder neemt trouwens zijn onderzoek-linkjes over.
Slim online zakenmannetje dus.
Uw webshop site kan u laten scannen via Fetch: http://fetch.scritch.org/%2Bfetch/?url=http%3A%2F%2Feverstylish.com&useragent=Fetch+useragent&accept_encoding=
Een random voorbeeld van een Magento webshop site.
Malware gedetecteerd: https://www.hybrid-analysis.com/sample/8632db958d3d24a21551e80597ccc5672c924794407d973795dd3519339a3330?environmentId=100
Zie ook deze "neutrale" scanner infovan Redleg: https://aw-snap.info/file-viewer/?tgt=http%3A%2F%2Feverstylish.com&ref_sel=GSP2&ua_sel=ff&fs=1
En om te zien hoeverre de beveiliging van deze site in het geding is,
komen toch weer uit bij een scansite van dit Byte.nl bedrijf,
namelijk op MageReport dot com bij: https://www.magereport.com/scan/?s=http://everstylish.com/
Maar er zijn nog andere bedrijven die uw site willen helpen met de beveiligingsproblemen
en voor u willen monitoren, maar de gratis Mage rapporten zijn een goed initiatief.
Maar steek de hand is in eigen boezem. Ga u verdiepen in website beveiliging, lees over protocollen, javascript onveiligheid, security headers, genereer SRI hashes, begin aan CSP, vermijdt excessieve server header proliferatie, exploits, XSS, clickjacking enz. enz.
Er gaat een wereld voor u open. We hebben trouwens hier allemaal onze stack tabelletjes moeten maken.
Of zoek iemand die dat allemaal al weet en u kan helpen.
de hand in eigen boezem steken was al gebeurd en wordt ook in mijn recatie vermeld. Punt dat ik hier will maken is dat het het op zijn minst discutabel te nomen is dat Byte op deze manier een lijst met domeinnamen het internet op gooit en een voor een de door hun gehoste namen van deze lijst verwijderd.
Onze sites zijn schoon en doorlopen alle tests met glans.
Onze sites zijn schoon en doorlopen alle tests met glans.
Beste anoniem van 22:26.
Vanwege welk beveiligingsrisico belandde u dan op deze door u zo gewraakte "Willem G.-lijst".
Is dit risico nu ondervangen? Is alles "same origin" nu? Is de content beveiligd?
Op verzoek moeten scangegevens kunnen worden verwijderd of
moet u expliciet schriftelijk toestemming gegeven hebben voor een dergelijke scanpublicatie.
Veel scan sites vragen ook netjes of de scan uitslagen in de hal of shame of de hal of fame mogen worden geplaatst.
Trouwens als een reden voor een blokkering is vervallen, wordt uw website toch ook gedeblokkeerd.
Het gaat er maar om dat de site niet gevaarlijk blijft. Beter ten halve gekeerd dan ten hele gedwaald.
Ik denk dat er met de door uw gewraakte lijst ook niet helemaal ethisch wordt omgesprongen.
Maar dat terzijde. Niet zo professioneel en misschien niet zo op de hoogte met hoe het eigenlijk zou moeten,
maar "uitgekookt" van opzet.
Als ik bijvoorbeeld een dazzlepod ip scan doe voor een bepaald ip, mag ik de scan gegevens wel zelf zien, maar niet delen met anderen, die ze zouden kunnen misbruiken. Sommige SSL scansites hebben ook een dergelijke policy.
Bij WOT rapportjes mag ik bijvoorbeeld geen live (scan) links geven.
Doe ik het wel, krijg ik gelijk op mijn tengels van de webreputatie tool moderator.
Vanwege welk beveiligingsrisico belandde u dan op deze door u zo gewraakte "Willem G.-lijst".
Is dit risico nu ondervangen? Is alles "same origin" nu? Is de content beveiligd?
Op verzoek moeten scangegevens kunnen worden verwijderd of
moet u expliciet schriftelijk toestemming gegeven hebben voor een dergelijke scanpublicatie.
Veel scan sites vragen ook netjes of de scan uitslagen in de hal of shame of de hal of fame mogen worden geplaatst.
Trouwens als een reden voor een blokkering is vervallen, wordt uw website toch ook gedeblokkeerd.
Het gaat er maar om dat de site niet gevaarlijk blijft. Beter ten halve gekeerd dan ten hele gedwaald.
Ik denk dat er met de door uw gewraakte lijst ook niet helemaal ethisch wordt omgesprongen.
Maar dat terzijde. Niet zo professioneel en misschien niet zo op de hoogte met hoe het eigenlijk zou moeten,
maar "uitgekookt" van opzet.
Als ik bijvoorbeeld een dazzlepod ip scan doe voor een bepaald ip, mag ik de scan gegevens wel zelf zien, maar niet delen met anderen, die ze zouden kunnen misbruiken. Sommige SSL scansites hebben ook een dergelijke policy.
Bij WOT rapportjes mag ik bijvoorbeeld geen live (scan) links geven.
Doe ik het wel, krijg ik gelijk op mijn tengels van de webreputatie tool moderator.
Update.
Er is nu een nieuwe lijst: https://github.com/gwillem/ecommerce-malware-collection/tree/master/js
Nieuwe link, waar de lijst wordt bijgehouden: https://github.com/gwillem/ecommerce-malware-collection/tree/master/js
Check hier met de Magento security scanner: https://www.magereport.com/scan/?s=
(scandienst is ook van Willem de Groot's Byte B.V.).
De lijst heeft een duidelijk commercieel doel, namelijk potentieel onveilige webshop sites support geven
via het bedrijf van de lijst samensteller, Byte B.V.'s Willem de Groot.
F-Secure meldde t.a.v. van zijn vorige Github lijst, de nieuwe is nu ondergebracht bij Gitlab:
Er is nu een nieuwe lijst: https://github.com/gwillem/ecommerce-malware-collection/tree/master/js
Nieuwe link, waar de lijst wordt bijgehouden: https://github.com/gwillem/ecommerce-malware-collection/tree/master/js
Check hier met de Magento security scanner: https://www.magereport.com/scan/?s=
(scandienst is ook van Willem de Groot's Byte B.V.).
De lijst heeft een duidelijk commercieel doel, namelijk potentieel onveilige webshop sites support geven
via het bedrijf van de lijst samensteller, Byte B.V.'s Willem de Groot.
F-Secure meldde t.a.v. van zijn vorige Github lijst, de nieuwe is nu ondergebracht bij Gitlab:
Reply from F-Secure
=============================================================
We have finished analyzing the submitted URLs, and 176 of the provided URLs have been found to be malicious, for which the appropriate ratings have been added. The updated ratings shall be reflected automatically via Security Cloud otherwise known as ORSP.
==============================================================
Waarvan akte.=============================================================
We have finished analyzing the submitted URLs, and 176 of the provided URLs have been found to be malicious, for which the appropriate ratings have been added. The updated ratings shall be reflected automatically via Security Cloud otherwise known as ORSP.
==============================================================
30-10-2016, 21:04 door
gwillem
Hoi, ik ben de auteur van het onderzoek. Voor in het archief:
1. Plaatsing had geen commercieel doel, daarom gebeurde het op persoonlijke titel en niet via mijn bedrijf. NB. Mijn bedrijf doet helemaal geen webshop onderhoud.
2. De melding van F-Secure hierboven (bron?) vind ik nogal verontrustend. Ik heb enkele honderden vragen ontvangen en geen enkele vermelding bleek een false positive te zijn. Op het moment van schrijven (30 okt) zijn er nog steeds 4071 sites die kwaadaardige javascript bevatten.
Zie voor laatste update: https://gitlab.com/gwillem/public-snippets/snippets/28813
Zie voor discussie over de ethiek van publicatie: https://news.ycombinator.com/item?id=12712648
1. Plaatsing had geen commercieel doel, daarom gebeurde het op persoonlijke titel en niet via mijn bedrijf. NB. Mijn bedrijf doet helemaal geen webshop onderhoud.
2. De melding van F-Secure hierboven (bron?) vind ik nogal verontrustend. Ik heb enkele honderden vragen ontvangen en geen enkele vermelding bleek een false positive te zijn. Op het moment van schrijven (30 okt) zijn er nog steeds 4071 sites die kwaadaardige javascript bevatten.
Zie voor laatste update: https://gitlab.com/gwillem/public-snippets/snippets/28813
Zie voor discussie over de ethiek van publicatie: https://news.ycombinator.com/item?id=12712648
Dank aan gwillem voor de ethische verantwoording.
Velen hier zullen dit op prijs stellen.
Er zijn dus nog mensen met het juiste beveiligingshart op de juiste plek.
Verschillende beveiligingsplatformen hebben de weg naar uw lijst
en ook de weg naar de MageReport dot com scanner gevonden.
Dank, dank daarvoor!
Wat ik persoonlijk zo goed vind aan uw initiatief, is dat u de manco's en blinde hoeken
bij scanners als Sucuri's en die van Bruce Jackson bijvoorbeeld,
wat betreft het ontdekken van magento kwetsbaarheden en infecties duidelijk hebt blootgelegd.
Er wordt nauwelijks specifiek op CMS gescanned bij algemene zgh. page scans.
Uitzonderingen als hackertarget dot com en retire insecurity today (jQuery) daargelaten.
Zo mis ik bij scans nogal eens scans op cloaking en zgn. best practices.
Men gaat in navolging van AV vaak uit van de situatie waar het kalf al verdronken is en
niet hoe men de put kan dempen- zodat het kalf niet kan verdrinken!
Maar ja dan jaag je tegenwoordig 50% van de website administratie in de gordijnen
of beschouwen ze je als hun persoonlijke vijand omdat de baas iets te weten kan komen
betreffende hun kennelijke incompetentie en falen, die worden aangetoond.
luntrus
P.S. Ook goed die aandacht voor de visbot infectie golf. ;)
Velen hier zullen dit op prijs stellen.
Er zijn dus nog mensen met het juiste beveiligingshart op de juiste plek.
Verschillende beveiligingsplatformen hebben de weg naar uw lijst
en ook de weg naar de MageReport dot com scanner gevonden.
Dank, dank daarvoor!
Wat ik persoonlijk zo goed vind aan uw initiatief, is dat u de manco's en blinde hoeken
bij scanners als Sucuri's en die van Bruce Jackson bijvoorbeeld,
wat betreft het ontdekken van magento kwetsbaarheden en infecties duidelijk hebt blootgelegd.
Er wordt nauwelijks specifiek op CMS gescanned bij algemene zgh. page scans.
Uitzonderingen als hackertarget dot com en retire insecurity today (jQuery) daargelaten.
Zo mis ik bij scans nogal eens scans op cloaking en zgn. best practices.
Men gaat in navolging van AV vaak uit van de situatie waar het kalf al verdronken is en
niet hoe men de put kan dempen- zodat het kalf niet kan verdrinken!
Maar ja dan jaag je tegenwoordig 50% van de website administratie in de gordijnen
of beschouwen ze je als hun persoonlijke vijand omdat de baas iets te weten kan komen
betreffende hun kennelijke incompetentie en falen, die worden aangetoond.
luntrus
P.S. Ook goed die aandacht voor de visbot infectie golf. ;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?
