Visa waarschuwt webwinkels voor code die creditcarddata steelt
Creditcardmaatschappij Visa heeft een waarschuwing afgegeven waarin het webwinkels wijst op malafide JavaScriptcode die creditcardgegevens van klanten steelt. Het gaat om een 'JavaScript-skimmer' die door Visa 'Pipka' wordt genoemd (pdf).
Pipka is al bij zeventien Noord-Amerikaanse webwinkels aangetroffen. Gegevens die klanten op de betaalpagina van de webwinkel invoeren, zoals creditcardnummer, verloopdatum, CVV-code, naam en adresgegevens, worden door Pipka naar de aanvallers gestuurd. "In tegenstelling tot andere JavaScript-skimmers kan Pipka na te zijn uitgevoerd zichzelf van de html van een gecompromitteerde website verwijderen, wat de kans op detectie verkleint", aldus de waarschuwing van Visa.
De creditcardmaatschappij stelt dat het de eerste keer is dat een JavaScript-skimmer zichzelf verwijdert en het een significante ontwikkeling in JavaScript-skimming betreft. Hoe aanvallers de code aan websites toevoegen laat Visa niet weten. Wel doet de creditcardmaatschappij verschillende aanbevelingen, zoals het scannen van websites op kwetsbaarheden, het updaten van software, het gebruik van sterke beheerderswachtwoorden en het beperken van toegang tot het beheerdersportaal.
Het Internet gaat aan zijn "succes"ten onder.
Wie gaat welke maatregelen nemen om "het tij te keren"?
Ik ga zo langzamerhand denken om alles weer in fysieke winkels te kopen/bestellen.
En bankieren via papier te regelen.
Zeer zorgwekkend.
met een soort van digitale enkelband,
zodat de pakkans zo vergroot wordt, dat men nog wel twee keer nadenkt
met het lanceren van malware.
Op de manier, waarop het nu gaat, de put weer dempen als het kalf reeds verdronken is,
gaat het inderdaad van kwaad tot erger.
Aan de ene kant dus niet voldoende handhavingsbeleid
en aan de andere kant niet voldoende veilig coderen aanleren en toepassen.
Ziet niemand het dan, dat het zo langzamerhand echt helemaal fout dreigt te gaan.
Klik je als onderzoeker nooit eens Ctrl+Shift+I aan.
Dan zie je toch in developer modus wat er allemaal "onder de moterkap" steeds schever gaat.
Dat kan toch een kind met een beetje JavaScript kennis ontwaren.
Kennelijk is er niemand geinteresseerd. Ego-ego-ego-money-money-money, luidt het credo,
#sockpuppet
Ze kunnen beter adviseren om Subresource Integrity (SRI) https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity te gebruiken en leveranciers te verplichten dit te ondersteunen. Dan weet je 100% zeker in browsers die het ondersteunen dat het script dat je binnenhaalt ook identiek is aan het script toen je het plaatste.
Het Internet gaat aan zijn "succes"ten onder.
Wie gaat welke maatregelen nemen om "het tij te keren"?
Het woord - pipka - is bijvoorbeeld in het Pools een vies woord (brzydki wyraz)
voor het vrouwelijk geslachtsdeel, net als de Engelse equivalent, het vierletterwoord,
dat begint met een c... en ons eigen k*tje. (pipka, als diminutief van pipa).
Je zoekt de uitdrukking daar nog tevergeefs in het woordenboek.
Het platvloerse laag-culturele niveau van de gemiddelde cybercrimineel is daarmee weer voldoende aangeduid,
lijkt me zo. Malware verspreiders, het schuim der natie en ander low-life-vormen.
m.vr.gr.
luntrus (3rd party cold recon website security analist en foutenjager).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.