Ruim honderd webwinkels lekken creditcarddata via formjacking
Bij ruim honderd webwinkels, waaronder ook Nederlandse bedrijven, weten criminelen via formjacking creditcardgegevens van klanten te stelen. Dat stelt securitybedrijf 360Netlab in een analyse. Criminelen hebben op de betaalpagina van de webshops kwaadaardige JavaScript-code weten te plaatsen.
Zodra klanten ervoor kiezen om via creditcard te betalen en hun creditcardgegevens invullen, worden die door de code naar de criminelen gestuurd. De kwaadaardige JavaScript-code wordt geladen vanaf een domein met daarin de naam van Magento, de software waar veel webwinkels gebruik van maken. Het domein werd vorig jaar mei geregistreerd.
Volgens onderzoekers van 360Netlab is de kwaadaardige die vanaf dit domein wordt geladen op 105 webwinkels actief. Zoekmachine PublicWWW stelt dat het inmiddels om 131 sites gaat. De webshops verkopen onder andere luxe goederen, fietsen, babyproducten, wijn en elektronica. Hoe de webwinkels gecompromitteerd zijn geraakt laten de onderzoekers niet weten. Bij soortgelijke aanvallen maakten criminelen gebruik van standaardwachtwoorden, bruteforce-aanvallen en kwetsbaarheden in Magento waarvoor beheerders beschikbare patches niet hadden geïnstalleerd.
Random voorbeeld: https://www.magereport.com/scan/?s=https://www.maisonbirks.com/
Zie: https://webscan.upguard.com/#/maisonbirks.com
& https://retire.insecurity.today/#!/scan/b362dc5bcf89611d69900f96cf48ecce7566dde5b046f316e1d23b60df5c8177
Letterlijk en figuurlijk is er dus "volop werk aan de winkel",
#sockpuppet
Denk dat het deze opties zijn:
Sanitize cross-site suspicious requests
Scan uploads for potential cross-site attacks
Tevens in die lijst ook aangeven (online of zo) of het probleem gefixt is, anders blijft het negatief.
Makkelijk je wilt kant en klare listings. Zat de wereld maar zo simpel in elkaar.
Zo werkt dat niet, vrind, ze zult er een beetje moeite voor moeten doen om het zelf te ontdekken.
Daarom is dat dan ook het exclusieve terrein van security researchers.
Aan de hand van een simpele scan van de in de analyse vermelde javascripts
zijn de inmiddels hopelijk gepatchte script slachtoffers makkelijk te achterhalen;
bijvoorbeeld met een bepaald script als query komen we uit op random example -
: https://urlscan.io/result/353152fb-82e9-4bf9-9c9b-ff9bf9d2e8be/
PublicWWW geeft deze resultaten slechts ongemaskeerd tegen betaling voor researchers.
Zij blokkeert identificeerbaarheid en dat is een verantwoorde manier op dat te doen,
alhoewel en slechts bij publiekelijk toegankelijke bronnen open disclosure de voorkeur verdient.
Je wilt immers nooit verdienen aan andermans ellende, ik niet in ieder geval,
er is al genoeg narigheid op de infrastructuur, zowel op client als webserver etc,
Dat vind ik onethisch gedrag, een klein huppeltje verder en je zit op het terrein van cybercrime & co.
De veel te vroeg overleden searchlores guru F.R.A.V.I.A., waar ondergetekende een adept van is,
stelde terecht dat alle info op Interwebz te achterhalen valt, als je maar weet,
waar je precies naar moet zoeken en met welke query op welke zoekmachine en bij welke bron.
Er zijn zelfs automatische scriptjes in omloop,
die black hats gebruiken op shodan.io
om hun potentiele slachtoffers met kwetsbare code op sites uit te kunnen zoeken.
Een exellent zoeker is vaak menige hacker de baas en m.i. gevaarlijker.
Trouwens hacken mag niet en met "3rd party cold reconnaissance website exploring"
komen we ook nooit op zulke kwetsbare websites zelf.
Voor generieke website security verificatie hoef je dat niet te doen,
in andere gevallen, bij pentesting etc.( dien je expliciete toestemming te hebben
van de website eigenaar of admin en liefst schriftelijk).
Ook moeten in alle andere gevallen de gegevens op de searchsite gevonden publiek en openbaar zijn gemaakt.
#sockpuppet
Tot dusverre lijkt de meest veilige oplossing de prepaid creditcard te zijn. In tegenstelling tot veel legendevorming is deze gewoonlijk niet anoniem, en dat is ook niet per se de meerwaarde. Maar je kan door het saldo laag te houden clandestiene betalingen grotendeels blokkeren voordat ze gebeuren. Als je een betaling wil doen, zet je er voldoende saldo op om die te kunnen doen, en doet onmiddellijk de betaling. Helaas eisen veel Nederlandse aanbieders een koppeling aan een betaalmethode die op zijn beurt ook weer slecht geauthenticeerd is, hetgeen het doel ondergraaft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.