Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Criminelen skimmen creditcards bij 5900 gehackte webwinkels

dinsdag 11 oktober 2016, 14:46 door Redactie, 16 reacties

Wereldwijd zijn er meer dan 5900 gehackte webwinkels waar criminelen de creditcardgegevens van klanten stelen die afrekenen, waaronder minstens 250 Nederlandse webshops. Terwijl het traditionele skimmen van pinpassen afneemt lijkt het aantal gevallen van online skimming juist toe te nemen.

Dat ontdekte de Nederlandse beveiligingsonderzoeker Willem de Groot. De criminelen hacken de webwinkel en voegen vervolgens kwaadaardige code toe, zonder dat de eigenaren dit doorhebben. Zodra een klant afrekent worden zijn creditcardgegevens en andere persoonlijke informatie naar de criminelen gestuurd, die hier vervolgens mee kunnen frauderen. Volgens De Groot weten de criminelen de webwinkels te hacken via kwetsbaarheden die niet door de eigenaren zijn gepatcht, ook al zijn beveiligingsupdates voor de problemen al geruime tijd beschikbaar.

Vorig jaar november deed De Groot al onderzoek naar online skimming en ontdekte toen 3500 gehackte winkels. Tien maanden later is de teller inmiddels de 5900 gepasseerd. Het gaat onder andere om 250 webwinkels eindigend op .nl. Mogelijk zijn er meer Nederlandse webwinkels gehackt, aangezien Nederlandse shops ook andere extensies kunnen gebruiken. Tenminste 159 gehackte webwinkels draaien op Magento Enterprise Edition, software die alleen door grote webwinkels wordt gebruikt.

Verder bleek dat 754 gehackte webwinkels al sinds vorig jaar zijn gehackt en er nog altijd creditcardgegevens worden gestolen. "Klaarblijkelijk kun je maandenlang ongestoord creditcards skimmen", aldus de Nederlander. De Groot waarschuwde verschillende webwinkels, maar die reageerden onwetend en onverschillig. Zo liet één webwinkel weten dat de shop veilig was omdat er https werd gebruikt. Inmiddels heeft De Groot een lijst van de ruim 5900 gehackte webwinkels online gezet.

Banken gehackt via macro-malware in Word-document
Rotterdam start proef met gratis beveiligingspakket voor mkb
Reacties (16)
11-10-2016, 17:00 door Anoniem
Flinke kluif voor het CBP als deze webshops inderdaad last hebben van een datalek en ze niet binnen 72 uur een melding maken.
11-10-2016, 20:10 door Anoniem
De creditcard met de roterende CVV code, is hier reeds besproken, en is het beste wapen in de maak, om deze manier van fraude te stoppen.
http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/

https://www.security.nl/posting/488028/Roterende+CVV-code+Creditcard
11-10-2016, 20:28 door karma4
Het is een nieuwe draai aan het woord https://nl.wikipedia.org/wiki/Skimmen. De eerste grote zaak die bekend werd was van Target. Dat betrof pos apparatuur met een duur IDS van Fire-eye. De faal zat in het reageren op de alert (India uitbesteed werk). Als je het over gehackte webwinkels hebt, meest waarschijnlijk niet goed bijhouden en proactief beheer met de monitoring. Dat is de menselijke benadering (falend beleid) als zwakste punt niet de techniek.
11-10-2016, 22:16 door Anoniem
Door Anoniem: Flinke kluif voor het CBP als deze webshops inderdaad last hebben van een datalek en ze niet binnen 72 uur een melding maken.
denk niet dat die webshop eigenaren het probleem zien..
ik heb die lijst eens bekeken, en de meeste zijn zo klein dat ze waarschijnlijk nog nooit van het College Bescherming Persoonsgegevens hebben gehoord.
11-10-2016, 23:43 door Anoniem
Ja de sites worden over het merendeel slecht gemaakt, de software slecht van updates en patches voorzien.
En ook ontbreekt er vaak monitoring van wat er gebeurt.

Kik hier eens voor een willekeurig voorbeeld: https://sitecheck.sucuri.net/results/www.jomso.com
Bij deze scan wordt deze Magento hack compleet gemist.
Je zal er maar voor betaald hebben om je site te laten bewaken door Sucuri.

Goed werk van Willem de Groot, overigens, hulde - hulde - hulde!

Bovenstaand willekeurig voorbeeld van zijn webshop websitelijst eens even door Redleg's Fileviewer gehaald.
Dan komen er nogal wat kwetsbaarheden boven drijven en wordt ook het kwaadaardige geobfusceerde script
in kwestie getraceerd.

Het zwaar geobfusceerde script vanaf lijn 1509 wordt aangegeven als een mogelijke Magento hack:
Magento sites labeled "this site may be hacked. or This site may harm your computer.".
And as we see with this hack it comes heavily obfuscated. jsunpack ->
"line:4: SyntaxError: missing ; before statement:
error: line:4: Note: This block of obfuscated script looks suspicious."
12-10-2016, 09:41 door Anoniem
Inmiddels heeft iedereen dit nieuws overgenomen, maar niemand doet de moeite de 250 NL sites in een apart lijstje te zetten?
12-10-2016, 10:57 door Anoniem
Door Anoniem: Inmiddels heeft iedereen dit nieuws overgenomen, maar niemand doet de moeite de 250 NL sites in een apart lijstje te zetten?
.nl voldoet in de zoekbalk ;-)
12-10-2016, 11:56 door Anoniem
''Vooral kleine webshops in Nederland zouden door de hack zijn getroffen. Grote partijen zoals Bol.com en Coolblue staan niet op de lijst.'' bron: nu.nl
12-10-2016, 12:22 door Anoniem
IMHO het meest opzienbarende was dat de Republikeinse senaatsfractie tenminste een half jaar lang geskimmed werd en daar in alle talen over zwijgt. Zie bewijsmateriaal hier (video van broncode): https://gwillem.github.io/2016/10/04/how-republicans-send-your-credit-card-to-russia/
12-10-2016, 16:15 door Anoniem
Ons bedrijf is zelf genoemd op deze lijst en nu kunnen wij hier niet meer vanaf komen. Dat is uw probleem zult u misschien zeggen, maar door onderzoek ben ik erachter gekomen dat de auteur van dit artikel (Willem de Groot) eigenaar/oprichter/medewerker is van Byte.nl. Op zich ook geen probleem ware het niet dat er zich op het moment twee zaken voordoen:

1. Ik en anderen worden nu bestookt met email van derde partijen die het probleem wel even op kunnen lossen (al dien niet met een dreigende toon).
2. Ik zie dat de heer Willem de Groot de lijst wel degelijk aanpast (of laat aanpassen) echter zeer selectief. De domeinen gehost door Byte.nl worden namelijk successievelijk van deze lijst verwijderd.
12-10-2016, 18:03 door Anoniem
@anoniem van 16:15 uur.

Ja niet iedereen in beveiligingsland werkt onbevooroordeeld en wie wil niet voor eigen parochie preken?
Of je bent onbevooroordeeld, onafhankelijk, vrijwilliger, amateur, g33k, ergens fanboy van, of platform lid
....of je bent commercieel ingesteld.

De schoorsteen zal bij de heer Willem de Groot ook moeten blijven roken,
zeker nu we binnen een aantal jaren een nieuwe ijstijd hebben te verwachten. ;)

Dus hij zet zichzelf en zijn bedrijf zo in de schijnwerpers en
doet aan acquisitie met als beloning van de lijst af te komen.

Ieder neemt trouwens zijn onderzoek-linkjes over.
Slim online zakenmannetje dus.

Uw webshop site kan u laten scannen via Fetch: http://fetch.scritch.org/%2Bfetch/?url=http%3A%2F%2Feverstylish.com&useragent=Fetch+useragent&accept_encoding=

Een random voorbeeld van een Magento webshop site.

Malware gedetecteerd: https://www.hybrid-analysis.com/sample/8632db958d3d24a21551e80597ccc5672c924794407d973795dd3519339a3330?environmentId=100

Zie ook deze "neutrale" scanner infovan Redleg: https://aw-snap.info/file-viewer/?tgt=http%3A%2F%2Feverstylish.com&ref_sel=GSP2&ua_sel=ff&fs=1

En om te zien hoeverre de beveiliging van deze site in het geding is,
komen toch weer uit bij een scansite van dit Byte.nl bedrijf,
namelijk op MageReport dot com bij: https://www.magereport.com/scan/?s=http://everstylish.com/

Maar er zijn nog andere bedrijven die uw site willen helpen met de beveiligingsproblemen
en voor u willen monitoren, maar de gratis Mage rapporten zijn een goed initiatief.

Maar steek de hand is in eigen boezem. Ga u verdiepen in website beveiliging, lees over protocollen, javascript onveiligheid, security headers, genereer SRI hashes, begin aan CSP, vermijdt excessieve server header proliferatie, exploits, XSS, clickjacking enz. enz.

Er gaat een wereld voor u open. We hebben trouwens hier allemaal onze stack tabelletjes moeten maken.

Of zoek iemand die dat allemaal al weet en u kan helpen.
12-10-2016, 22:26 door Anoniem
de hand in eigen boezem steken was al gebeurd en wordt ook in mijn recatie vermeld. Punt dat ik hier will maken is dat het het op zijn minst discutabel te nomen is dat Byte op deze manier een lijst met domeinnamen het internet op gooit en een voor een de door hun gehoste namen van deze lijst verwijderd.

Onze sites zijn schoon en doorlopen alle tests met glans.
13-10-2016, 19:01 door Anoniem
Beste anoniem van 22:26.

Vanwege welk beveiligingsrisico belandde u dan op deze door u zo gewraakte "Willem G.-lijst".
Is dit risico nu ondervangen? Is alles "same origin" nu? Is de content beveiligd?

Op verzoek moeten scangegevens kunnen worden verwijderd of
moet u expliciet schriftelijk toestemming gegeven hebben voor een dergelijke scanpublicatie.
Veel scan sites vragen ook netjes of de scan uitslagen in de hal of shame of de hal of fame mogen worden geplaatst.

Trouwens als een reden voor een blokkering is vervallen, wordt uw website toch ook gedeblokkeerd.
Het gaat er maar om dat de site niet gevaarlijk blijft. Beter ten halve gekeerd dan ten hele gedwaald.

Ik denk dat er met de door uw gewraakte lijst ook niet helemaal ethisch wordt omgesprongen.
Maar dat terzijde. Niet zo professioneel en misschien niet zo op de hoogte met hoe het eigenlijk zou moeten,
maar "uitgekookt" van opzet.

Als ik bijvoorbeeld een dazzlepod ip scan doe voor een bepaald ip, mag ik de scan gegevens wel zelf zien, maar niet delen met anderen, die ze zouden kunnen misbruiken. Sommige SSL scansites hebben ook een dergelijke policy.

Bij WOT rapportjes mag ik bijvoorbeeld geen live (scan) links geven.
Doe ik het wel, krijg ik gelijk op mijn tengels van de webreputatie tool moderator.
18-10-2016, 11:45 door Anoniem
Update.

Er is nu een nieuwe lijst: https://github.com/gwillem/ecommerce-malware-collection/tree/master/js
Nieuwe link, waar de lijst wordt bijgehouden: https://github.com/gwillem/ecommerce-malware-collection/tree/master/js

Check hier met de Magento security scanner: https://www.magereport.com/scan/?s=
(scandienst is ook van Willem de Groot's Byte B.V.).

De lijst heeft een duidelijk commercieel doel, namelijk potentieel onveilige webshop sites support geven
via het bedrijf van de lijst samensteller, Byte B.V.'s Willem de Groot.

F-Secure meldde t.a.v. van zijn vorige Github lijst, de nieuwe is nu ondergebracht bij Gitlab:
Reply from F-Secure
=============================================================
We have finished analyzing the submitted URLs, and 176 of the provided URLs have been found to be malicious, for which the appropriate ratings have been added. The updated ratings shall be reflected automatically via Security Cloud otherwise known as ORSP.
==============================================================
Waarvan akte.
30-10-2016, 21:04 door gwillem
Hoi, ik ben de auteur van het onderzoek. Voor in het archief:

1. Plaatsing had geen commercieel doel, daarom gebeurde het op persoonlijke titel en niet via mijn bedrijf. NB. Mijn bedrijf doet helemaal geen webshop onderhoud.

2. De melding van F-Secure hierboven (bron?) vind ik nogal verontrustend. Ik heb enkele honderden vragen ontvangen en geen enkele vermelding bleek een false positive te zijn. Op het moment van schrijven (30 okt) zijn er nog steeds 4071 sites die kwaadaardige javascript bevatten.

Zie voor laatste update: https://gitlab.com/gwillem/public-snippets/snippets/28813

Zie voor discussie over de ethiek van publicatie: https://news.ycombinator.com/item?id=12712648
03-12-2016, 13:05 door Anoniem
Dank aan gwillem voor de ethische verantwoording.
Velen hier zullen dit op prijs stellen.

Er zijn dus nog mensen met het juiste beveiligingshart op de juiste plek.

Verschillende beveiligingsplatformen hebben de weg naar uw lijst
en ook de weg naar de MageReport dot com scanner gevonden.

Dank, dank daarvoor!

Wat ik persoonlijk zo goed vind aan uw initiatief, is dat u de manco's en blinde hoeken
bij scanners als Sucuri's en die van Bruce Jackson bijvoorbeeld,
wat betreft het ontdekken van magento kwetsbaarheden en infecties duidelijk hebt blootgelegd.

Er wordt nauwelijks specifiek op CMS gescanned bij algemene zgh. page scans.
Uitzonderingen als hackertarget dot com en retire insecurity today (jQuery) daargelaten.

Zo mis ik bij scans nogal eens scans op cloaking en zgn. best practices.

Men gaat in navolging van AV vaak uit van de situatie waar het kalf al verdronken is en
niet hoe men de put kan dempen- zodat het kalf niet kan verdrinken!

Maar ja dan jaag je tegenwoordig 50% van de website administratie in de gordijnen
of beschouwen ze je als hun persoonlijke vijand omdat de baas iets te weten kan komen
betreffende hun kennelijke incompetentie en falen, die worden aangetoond.

luntrus

P.S. Ook goed die aandacht voor de visbot infectie golf. ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Functionaris Gegevensbescherming (FG)

Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.

Lees meer
Vacature
Vacature

Digital Forensic Researcher

Netherlands Forensic Institute (NFI)

Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.

Lees meer
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Vacature
Image

IT Security Officer

Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!

Lees meer
Vacature
Vacature

Privacy Officer / CISO

Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!

Lees meer
Vacature
Vacature

Digital Forensic Researcher Mobile Device Hacking

Netherlands Forensic Institute (NFI)

As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter