Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

2500 webwinkels besmet met code die creditcarddata steelt

woensdag 3 april 2019, 16:12 door Redactie, 11 reacties

Criminelen zijn erin geslaagd om zo'n 2500 webwinkels van kwaadaardige code te voorzien die creditcarddata van klanten steelt, alsmede andere informatie die op de betaalpagina wordt ingevoerd. Een meerderheid van de getroffen winkels draaide een oudere versie van de webshopsoftware Magento.

Dat laat securitybedrijf Group-IB in een analyse weten. De beveiliger ontdekte 38 verschillende families van "JS-sniffers" die door criminelen in de pagina van de webwinkel worden geïnjecteerd. De sniffers onderscheppen de betaalgegevens en sturen die terug naar de aanvallers. Een vorm van cybercrime die ook formjacking wordt genoemd.

Om websites te infecteren maken de aanvallers gebruik van verschillende methodes. Zo hebben ze het voorzien op kwetsbaarheden in populaire webshopplatformen, zoals Magento, OpenCart, WordPress en Shopify. Een andere manier om toegang tot de webwinkel te krijgen is het inloggen op het beheerderspaneel. Dit kan via bruteforce-aanvallen of gestolen wachtwoorden worden gedaan. Als derde methode richten de aanvallers zich op derde partijen waar webwinkels gebruik van maken. Het voordeel hiervan is dat derde partijen vaak op meerdere webshops actief zijn. Zodra de derde partij gecompromitteerd is draait de kwaadaardige code ook op meerdere websites.

De verschillende JS-sniffers die Group-IB ontdekte werden op tenminste 2440 webwinkels aangetroffen, die bij elkaar meer dan 1,5 miljoen bezoekers hebben. 55 procent van de webwinkels was gecompromitteerd door een groep aanvallers die code in oudere versies van Magento injecteert. Dertien procent van de infecties werd veroorzaakt door een groep aanvallers die webwinkels via derde partijen met kwaadaardige scripts besmet.

De JS-sniffers worden voor bedragen tussen de 250 en 5000 dollar op fora voor criminelen aangeboden. Gestolen creditcardgegevens leveren tussen de één en vijf dollar per creditcard op. Beheerders van webwinkels krijgen het advies sterke wachtwoorden te gebruiken en beschikbare beveiligingsupdates te installeren. Tevens wordt aangeraden om het betalen via een apart betaalvenster te laten lopen, dat in een apart iframe zonder third-party scripts wordt geladen.

Image

Miljoenen privégegevens Facebookgebruikers gelekt
Everybody Edits lekt gegevens 871.000 spelers
Reacties (11)
03-04-2019, 21:26 door Krakatau
Magento... PHP...
#nocomment
03-04-2019, 22:34 door Anoniem
Blokkeren, dat 3rd party javascript via NoScript of uMatrix. Tenminste ik draai geen client op een device zonder het te blokkeren en alleen dat vrij te geven wat voor minimale functionaliteit van de site in kwestie absoluut nodig is en dat alleen na even nachecken, anders hop, weg daar en zo'n website vermijden. Er is immers geen handvol, maar een webvol.

En op de website en hosters, waar vrij geinjecteerd wordt door deze 38 js-sniffer families is sprake van kwetsbaarheden en soms grote nalatigheid of incompetente onnozelheid. Websites met zoveel DOM-XSS issues en kwetsbare libraries en oudated plug-ins of plug-ins, die zelfs nooit meer onderhouden worden door de oorspronkelijke developer. User enumeration op enabled gezet, directory listing op aan. Verouderde CMS kernel software draaiend.

Lieden, die dit doen en vooral lieden, die hier niet naar kijken of zulke onveiligheid niet van het Internet houden, verdienen niet anders dan dit gebeurt en het zal blijven gebeurem. Gelegenheid maakt immers de cybercrimineel. Eigenlijk zou een site met aperte onveiligheid vanwege onkunde direct door de autoriteiten moeten worden neergehaald, te groot risico voor de consument en de gemeenschap. Misschien leren ze het dan eens af.

PHP ook een lange litanie van kwellingen, wanneer het in handen komt van lieden die de vele pitfalls niet weten te omzeilen, de cheatbooks niet ernaast hebben liggen of waar de boel op de hoster niet door best policies voldoende geborgd is.

"It takes two to tango" (client & webserver), maar het meeste dat je ziet is een slechte klompendans uit de maat.
Word Press, Magenta, Joomla, allemaal PHP-gebaseerde ellende. Leer ontwerpen en echt een website code compileren.
Weet de lengte van een array en wat niet undefined kan blijven. Geef eens Ctrl+Shift+I in op de browser.
Verdiep je eens en blijf niet veredeld prutsen aan "gelikte" rotzooi. WYSIWYG = sh*t in = sh*t out.

luntrus
04-04-2019, 08:53 door spatieman
IE.....Uber magneto ......
#nuffsaid
04-04-2019, 09:15 door Krakatau - Bijgewerkt: 04-04-2019, 09:15
Door spatieman: IE.....Uber magneto ......
#nuffsaid

IE wordt nergens genoemd. Wat heeft Uber ermee te maken (auto's?). En dat karakter uit de X-Men? Magneto? Dat snap ik helemaal niet.
04-04-2019, 10:30 door Anoniem
naast voorkomen, moet je eigenlijk in je live omgeving ook een dagelijkse check doen die de actieve code checked met de code die "er zou moeten staan", om tegen te gaan dat dit langere tijd actief kan blijven als het zou gebeuren,....
04-04-2019, 11:05 door Anoniem
@Krakatau,
Hoe lang kaarten we dit al aan. Waarom blijven we op een verschrikkelijk onveilig punt staan? Er gebeurt niets. Het lijkt wel of men niet wil. Kijk naar de gigantische rondslingerende onbeveiligde data van Facebook. Autoriteiten doen niets. Om moedeloos van te worden. Hoe erge chaos wil men laten ontstaan?
luntrus
04-04-2019, 14:18 door karma4
Door Anoniem: @Krakatau,
Hoe lang kaarten we dit al aan. Waarom blijven we op een verschrikkelijk onveilig punt staan? Er gebeurt niets. Het lijkt wel of men niet wil. Kijk naar de gigantische rondslingerende onbeveiligde data van Facebook. Autoriteiten doen niets. Om moedeloos van te worden. Hoe erge chaos wil men laten ontstaan?
luntrus
De onbeveiligde data is afkomstig van facebook, door anderen in AWS (Amazon) gezet zodat je het met Google makkelijk op je Apple kan vinden (GAFA). Open source heet veilige te zijn, het zijn alle deze 4 die zo'n bewering grof misbruiken.
04-04-2019, 14:29 door Anoniem
Beste karma4 en krakatau, Bitwiper, CaptainHaddock
en andere zeer door mij gewaardeerde forumleden (zonder er eentje te willen vergeten),

Hoe lang blijven wij allen hier nog roependen in de woestijn?

Voelt er dan niemand de noodzaak dat er online iets moet gaan veranderen bij degenen die het Internet bouwen en onderhouden? De mens is wat dat aangaat een raar wezen, doet lange tijd niets als het niet onmiddellijk fout gaat.
Niet patchen en updaten en fouten jagen, tot het spreekwoordelijke kalf is verdronken.
Dan ineens is de wereld te klein.

Dat is de grootste fout in ons primatenkarakter, we roken bijvoorbeeld door tot we klachten krijgen
en dus werken we ook onveilig tot de data weg zijn of er sprake is van een compromittatie of infectie.

Hoe veel ellende heeft dat al veroorzaakt in ons eeuwenlange bestaan.
Hardnekkig spul, die mensheid. Ik hoor er natuurlijk ook bij, maar scan en check wel en rapporteer!

luntrus
04-04-2019, 15:59 door Anoniem
Ook sentora dot org, de open source web hosting site van Duck Duck go zit vol met zwakheden
en bijvoorbeeld bootstrap.js issues.

Zie: https://webhint.io/scanner/00f8da5d-ff91-4337-ade7-76f45da5e787#category-Security

#sockpuppet
05-04-2019, 15:25 door Anoniem
Leuk natuurlijk dat webhoster en webshopexploiteur bashen. Maar uiteindelijk ontstaat de ellende door criminelen. Het is een beetje hetzelfde als zeggen dat het je eigen schuld is als je op straat beroofd wordt omdat je immers op straat liep i.p.v. in je pantserwagen te zitten.
Die cybercriminals zijn de boosdoeners, niet de slachtoffers.
05-04-2019, 22:30 door Anoniem
@ anoniem van 15:25,

Allemaal tot je dienst, maar die cybercriminelen worden wel door wrakke website developers en "sloppy" onderhoud de kans geboden om hun kwaadaardige JavaScript injecties te kunnen uitvoeren en daarmee succes te hebben.

Hadden de developers beter hun stiel verstaan en had men niet gebruik gemaakt van slecht ondersteunde plug-ins en een op PHP-gebaseerd brak CMS op de gecompromitteerde websites, dan hadden die cybercriminelen toch wat vroeger op moeten staan. Zo ligt het ook wel weer. Leer de developers op de opleidingen betere security maatregelen nemen, leer de webserver admins beter de zaak borgen en voedt ook de slachtoffers achter de browsers op om niet overal op te klikken.

Wanneer wordt security online nu eens eindelijk niet een sluitpost op de begroting van CEO, manager en website eigenaar?
Doen we het niet vaak zelf door voor een dubbeltje op de eerste rang te willen zitten?

Cybercriminelen en kwaadaardige hackers, kwaadwillende staatsacteurs en dergelijke, ik hoop dat men een manier vindt om hen in de kraag te vatten en hun uitvalsbases te sinkholen en neer te halen en zorgen dat deze minkukels iets terug moeten doen voor de maatschappij die ze willens en wetens benadelen. Ze voelen zich nu sterk door de zwakheid van anderen en de zeer geringe pakkans in het cybertheater. Er zijn landen, die het ook nog gedogen, begint er dan maar eens aan, die gasten te vervolgen? Hoe pak je vanuit Holland een scriptkiddie uit Sjanghai aan?

Ik ben elke dag bezig om uit te leggen, waar het met JavaScript fout gaat, of vanwege interactie met een bepaalde extensie waardoor een bepaald urchin.js script de tijd niet krijgt om af te lopen, of een developerfout met een property die niet gelezen kan worden, omdat er iets op een verkeerde manier aangeroepen wordt, waar JavaScript zoals het bedoeld is, niet mee uit de voeten kan en 't niet kan lezen met deze error als gevolg. Als er nooit op mijn activiteiten in deze zelden of ooit gereageerd wordt en met doet het nog steeds niet anders, dan zeg ik op mijn beurt: "Verdienen ze het dan niet een beetje zelf, dat ze door een wat pientere malcreant telkens weer te grazen worden genomen".

Degenen, achter de browser, die het overkomt zijn de onschuldige slachtoffers en dat is soms een hard gelag, zij hebben geen 3 jaar een IT developer opleiding gehad om zulke narigheid niet neer te hoeven plempen, het onder tijddruk ontstane veredelde knip en plak codeerwerk voor te zetten en de malcreanten met door hun code zwakheden te faciliteren.

I rest my case,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

10 reacties
Aantal stemmen: 562
Image
De verkiezingsprogramma's doorgelicht: Deel 1 cybersecurity
25-01-2021 door Redactie

Op woensdag 17 maart mogen alle Nederlanders van achttien jaar en ouder weer naar de stembus voor de Tweede Kamerverkiezingen. ...

29 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 2 privacy
29-01-2021 door Redactie

Nog een aantal weken en dan gaat Nederland weer naar de stembus om een nieuwe Tweede Kamer te kiezen. In aanloop naar de ...

20 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 3 Big Tech
14-02-2021 door Redactie

Het aftellen naar de verkiezingen is begonnen. Nog vier weken en dan mag Nederland in de stemlokalen en per post bepalen wie de ...

9 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter