Webwinkels waarop criminelen een creditcardskimmer weten te plaatsen worden nadat de kwaadaardige code is verwijderd vaak binnen enkele dagen weer besmet. Dat blijkt uit onderzoek van de Nederlandse beveiligingsonderzoeker Willem de Groot.

De afgelopen maanden zijn tal van webwinkels en bedrijven in het nieuws gekomen nadat er op de betaalpagina's creditcardskimmers waren aangetroffen die creditcardgegevens van klanten opslaan en stelen. Het ging onder andere om Ticketmaster, British Airways en elektronicawebwinkel Newegg. In sommige gevallen maken de criminelen gebruik van third-party code die op een webwinkel draait, in andere gevallen wordt de webwinkel direct gehackt. Dit gebeurt onder andere door standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in webwinkelsoftware Magento.

Deze week publiceerden securitybedrijven RiskIQ en Flashpoint nog een gezamenlijk rapport over verschillende criminele groepen die zich hiermee bezighouden. Onderzoekers hanteren voor de groepen de naam Magecart. Volgens De Groot zijn er van 2015 tot en met oktober dit jaar 40.000 webwinkels door Magecart gehackt. In de afgelopen drie maanden ontdekte de onderzoeker 5400 unieke webwinkels waar de betaalpagina van een creditcardskimmer was voorzien. Bij meer dan 21 procent van de gehackte webwinkels in deze periode werd de creditcardskimmer, nadat die was verwijderd, weer opnieuw toegevoegd. Bij sommige winkels gebeurde dit zelfs 18 keer. De Groot merkt op dat de tegenmaatregelen die webwinkels na een infectie nemen niet voldoende blijken.

De onderzoeker geeft verschillende verklaringen waardoor Magecart webwinkels opnieuw kan blijven infecteren. Zo worden er na de initiële hack overal backdoors en adminaccounts op de server toegevoegd. Ook maken de criminelen gebruik van database-triggers en verborgen periodieke taken om de creditcardskimmer weer aan de pagina's toe te voegen. Een andere reden is het gebruik van obfuscatietechnieken waardoor de kwaadaardige code lastig van legitieme code is te onderscheiden. Verder claimt De Groot dat Magecart steeds vaker gebruik van zeroday-lekken maakt om bij webwinkels in te breken.

De creditcardskimmers die Magecart achterlaat zijn gemiddeld 12,7 dagen actief. Het opnieuw besmetten van de webwinkel nadat de skimmer is verwijderd vindt gemiddeld binnen 10,5 dagen plaats. Uit de statistieken die De Groot verzamelde blijkt dat webwinkels en beveiligingsbedrijven doordeweeks de infectie verwijderen, terwijl de webwinkels in het weekend worden gehackt. De Groot sluit af door te stellen dat de operaties van Magecart steeds professioneler worden en webwinkels maatregelen moeten nemen om hun reputatie en de privacy van klanten te beschermen.