image

2500 webwinkels besmet met code die creditcarddata steelt

woensdag 3 april 2019, 16:12 door Redactie, 11 reacties

Criminelen zijn erin geslaagd om zo'n 2500 webwinkels van kwaadaardige code te voorzien die creditcarddata van klanten steelt, alsmede andere informatie die op de betaalpagina wordt ingevoerd. Een meerderheid van de getroffen winkels draaide een oudere versie van de webshopsoftware Magento.

Dat laat securitybedrijf Group-IB in een analyse weten. De beveiliger ontdekte 38 verschillende families van "JS-sniffers" die door criminelen in de pagina van de webwinkel worden geïnjecteerd. De sniffers onderscheppen de betaalgegevens en sturen die terug naar de aanvallers. Een vorm van cybercrime die ook formjacking wordt genoemd.

Om websites te infecteren maken de aanvallers gebruik van verschillende methodes. Zo hebben ze het voorzien op kwetsbaarheden in populaire webshopplatformen, zoals Magento, OpenCart, WordPress en Shopify. Een andere manier om toegang tot de webwinkel te krijgen is het inloggen op het beheerderspaneel. Dit kan via bruteforce-aanvallen of gestolen wachtwoorden worden gedaan. Als derde methode richten de aanvallers zich op derde partijen waar webwinkels gebruik van maken. Het voordeel hiervan is dat derde partijen vaak op meerdere webshops actief zijn. Zodra de derde partij gecompromitteerd is draait de kwaadaardige code ook op meerdere websites.

De verschillende JS-sniffers die Group-IB ontdekte werden op tenminste 2440 webwinkels aangetroffen, die bij elkaar meer dan 1,5 miljoen bezoekers hebben. 55 procent van de webwinkels was gecompromitteerd door een groep aanvallers die code in oudere versies van Magento injecteert. Dertien procent van de infecties werd veroorzaakt door een groep aanvallers die webwinkels via derde partijen met kwaadaardige scripts besmet.

De JS-sniffers worden voor bedragen tussen de 250 en 5000 dollar op fora voor criminelen aangeboden. Gestolen creditcardgegevens leveren tussen de één en vijf dollar per creditcard op. Beheerders van webwinkels krijgen het advies sterke wachtwoorden te gebruiken en beschikbare beveiligingsupdates te installeren. Tevens wordt aangeraden om het betalen via een apart betaalvenster te laten lopen, dat in een apart iframe zonder third-party scripts wordt geladen.

Image

Reacties (11)
03-04-2019, 21:26 door Krakatau
Magento... PHP...
#nocomment
03-04-2019, 22:34 door Anoniem
Blokkeren, dat 3rd party javascript via NoScript of uMatrix. Tenminste ik draai geen client op een device zonder het te blokkeren en alleen dat vrij te geven wat voor minimale functionaliteit van de site in kwestie absoluut nodig is en dat alleen na even nachecken, anders hop, weg daar en zo'n website vermijden. Er is immers geen handvol, maar een webvol.

En op de website en hosters, waar vrij geinjecteerd wordt door deze 38 js-sniffer families is sprake van kwetsbaarheden en soms grote nalatigheid of incompetente onnozelheid. Websites met zoveel DOM-XSS issues en kwetsbare libraries en oudated plug-ins of plug-ins, die zelfs nooit meer onderhouden worden door de oorspronkelijke developer. User enumeration op enabled gezet, directory listing op aan. Verouderde CMS kernel software draaiend.

Lieden, die dit doen en vooral lieden, die hier niet naar kijken of zulke onveiligheid niet van het Internet houden, verdienen niet anders dan dit gebeurt en het zal blijven gebeurem. Gelegenheid maakt immers de cybercrimineel. Eigenlijk zou een site met aperte onveiligheid vanwege onkunde direct door de autoriteiten moeten worden neergehaald, te groot risico voor de consument en de gemeenschap. Misschien leren ze het dan eens af.

PHP ook een lange litanie van kwellingen, wanneer het in handen komt van lieden die de vele pitfalls niet weten te omzeilen, de cheatbooks niet ernaast hebben liggen of waar de boel op de hoster niet door best policies voldoende geborgd is.

"It takes two to tango" (client & webserver), maar het meeste dat je ziet is een slechte klompendans uit de maat.
Word Press, Magenta, Joomla, allemaal PHP-gebaseerde ellende. Leer ontwerpen en echt een website code compileren.
Weet de lengte van een array en wat niet undefined kan blijven. Geef eens Ctrl+Shift+I in op de browser.
Verdiep je eens en blijf niet veredeld prutsen aan "gelikte" rotzooi. WYSIWYG = sh*t in = sh*t out.

luntrus
04-04-2019, 08:53 door spatieman
IE.....Uber magneto ......
#nuffsaid
04-04-2019, 09:15 door Krakatau - Bijgewerkt: 04-04-2019, 09:15
Door spatieman: IE.....Uber magneto ......
#nuffsaid

IE wordt nergens genoemd. Wat heeft Uber ermee te maken (auto's?). En dat karakter uit de X-Men? Magneto? Dat snap ik helemaal niet.
04-04-2019, 10:30 door Anoniem
naast voorkomen, moet je eigenlijk in je live omgeving ook een dagelijkse check doen die de actieve code checked met de code die "er zou moeten staan", om tegen te gaan dat dit langere tijd actief kan blijven als het zou gebeuren,....
04-04-2019, 11:05 door Anoniem
@Krakatau,
Hoe lang kaarten we dit al aan. Waarom blijven we op een verschrikkelijk onveilig punt staan? Er gebeurt niets. Het lijkt wel of men niet wil. Kijk naar de gigantische rondslingerende onbeveiligde data van Facebook. Autoriteiten doen niets. Om moedeloos van te worden. Hoe erge chaos wil men laten ontstaan?
luntrus
04-04-2019, 14:18 door karma4
Door Anoniem: @Krakatau,
Hoe lang kaarten we dit al aan. Waarom blijven we op een verschrikkelijk onveilig punt staan? Er gebeurt niets. Het lijkt wel of men niet wil. Kijk naar de gigantische rondslingerende onbeveiligde data van Facebook. Autoriteiten doen niets. Om moedeloos van te worden. Hoe erge chaos wil men laten ontstaan?
luntrus
De onbeveiligde data is afkomstig van facebook, door anderen in AWS (Amazon) gezet zodat je het met Google makkelijk op je Apple kan vinden (GAFA). Open source heet veilige te zijn, het zijn alle deze 4 die zo'n bewering grof misbruiken.
04-04-2019, 14:29 door Anoniem
Beste karma4 en krakatau, Bitwiper, CaptainHaddock
en andere zeer door mij gewaardeerde forumleden (zonder er eentje te willen vergeten),

Hoe lang blijven wij allen hier nog roependen in de woestijn?

Voelt er dan niemand de noodzaak dat er online iets moet gaan veranderen bij degenen die het Internet bouwen en onderhouden? De mens is wat dat aangaat een raar wezen, doet lange tijd niets als het niet onmiddellijk fout gaat.
Niet patchen en updaten en fouten jagen, tot het spreekwoordelijke kalf is verdronken.
Dan ineens is de wereld te klein.

Dat is de grootste fout in ons primatenkarakter, we roken bijvoorbeeld door tot we klachten krijgen
en dus werken we ook onveilig tot de data weg zijn of er sprake is van een compromittatie of infectie.

Hoe veel ellende heeft dat al veroorzaakt in ons eeuwenlange bestaan.
Hardnekkig spul, die mensheid. Ik hoor er natuurlijk ook bij, maar scan en check wel en rapporteer!

luntrus
04-04-2019, 15:59 door Anoniem
Ook sentora dot org, de open source web hosting site van Duck Duck go zit vol met zwakheden
en bijvoorbeeld bootstrap.js issues.

Zie: https://webhint.io/scanner/00f8da5d-ff91-4337-ade7-76f45da5e787#category-Security

#sockpuppet
05-04-2019, 15:25 door Anoniem
Leuk natuurlijk dat webhoster en webshopexploiteur bashen. Maar uiteindelijk ontstaat de ellende door criminelen. Het is een beetje hetzelfde als zeggen dat het je eigen schuld is als je op straat beroofd wordt omdat je immers op straat liep i.p.v. in je pantserwagen te zitten.
Die cybercriminals zijn de boosdoeners, niet de slachtoffers.
05-04-2019, 22:30 door Anoniem
@ anoniem van 15:25,

Allemaal tot je dienst, maar die cybercriminelen worden wel door wrakke website developers en "sloppy" onderhoud de kans geboden om hun kwaadaardige JavaScript injecties te kunnen uitvoeren en daarmee succes te hebben.

Hadden de developers beter hun stiel verstaan en had men niet gebruik gemaakt van slecht ondersteunde plug-ins en een op PHP-gebaseerd brak CMS op de gecompromitteerde websites, dan hadden die cybercriminelen toch wat vroeger op moeten staan. Zo ligt het ook wel weer. Leer de developers op de opleidingen betere security maatregelen nemen, leer de webserver admins beter de zaak borgen en voedt ook de slachtoffers achter de browsers op om niet overal op te klikken.

Wanneer wordt security online nu eens eindelijk niet een sluitpost op de begroting van CEO, manager en website eigenaar?
Doen we het niet vaak zelf door voor een dubbeltje op de eerste rang te willen zitten?

Cybercriminelen en kwaadaardige hackers, kwaadwillende staatsacteurs en dergelijke, ik hoop dat men een manier vindt om hen in de kraag te vatten en hun uitvalsbases te sinkholen en neer te halen en zorgen dat deze minkukels iets terug moeten doen voor de maatschappij die ze willens en wetens benadelen. Ze voelen zich nu sterk door de zwakheid van anderen en de zeer geringe pakkans in het cybertheater. Er zijn landen, die het ook nog gedogen, begint er dan maar eens aan, die gasten te vervolgen? Hoe pak je vanuit Holland een scriptkiddie uit Sjanghai aan?

Ik ben elke dag bezig om uit te leggen, waar het met JavaScript fout gaat, of vanwege interactie met een bepaalde extensie waardoor een bepaald urchin.js script de tijd niet krijgt om af te lopen, of een developerfout met een property die niet gelezen kan worden, omdat er iets op een verkeerde manier aangeroepen wordt, waar JavaScript zoals het bedoeld is, niet mee uit de voeten kan en 't niet kan lezen met deze error als gevolg. Als er nooit op mijn activiteiten in deze zelden of ooit gereageerd wordt en met doet het nog steeds niet anders, dan zeg ik op mijn beurt: "Verdienen ze het dan niet een beetje zelf, dat ze door een wat pientere malcreant telkens weer te grazen worden genomen".

Degenen, achter de browser, die het overkomt zijn de onschuldige slachtoffers en dat is soms een hard gelag, zij hebben geen 3 jaar een IT developer opleiding gehad om zulke narigheid niet neer te hoeven plempen, het onder tijddruk ontstane veredelde knip en plak codeerwerk voor te zetten en de malcreanten met door hun code zwakheden te faciliteren.

I rest my case,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.