image

1200 webshops getroffen door malware die creditcardgegevens steelt

dinsdag 12 mei 2020, 14:02 door Redactie, 9 reacties
Laatst bijgewerkt: 12-05-2020, 16:12

Het afgelopen jaar zijn meer dan 1200 webwinkels besmet geraakt met malware die creditcardgegevens van klanten steelt en terugstuurt naar criminelen, die hier vervolgens mee frauderen. Het gaat ook om Nederlandse webshops, zo laat beveiligingsonderzoeker Max Kersten weten.

Criminelen weten kwaadaardige code aan de betaalpagina van de webshop toe te voegen die de creditcardgegevens van de klant onderschept. Dit is mogelijk door de webwinkel zelf of een derde partij te compromitteren waar de webshop gebruik van maakt. Aan de hand van de domeinen die de criminelen achter deze aanvallen gebruiken om de gestolen creditcarddata naar toe te sturen ontdekte Kersten in totaal 1236 gecompromitteerde webshops.

Het grootste deel hiervan (303) bevindt zich in de Verenigde Staten. 28 webwinkels bevinden zich in Nederland. Er kunnen echter meer Nederlandse webshops tussen zitten, aangezien van 280 winkels de locatie niet kon worden vastgesteld. Hoe de aanvallers toegang tot de webwinkels wisten te krijgen kan Kersten niet met zekerheid zeggen, maar hij vermoedt dat de shopbeheerders hebben nagelaten om beveiligingsupdates te installeren.

Zeventien van de webshops eindigend op .nl waren dit jaar nog besmet. Bij sommige webshops is de malware maandenlang actief voordat die wordt opgemerkt of verwijderd. Internetgebruikers die bij de gecompromitteerde webwinkels hun creditcard hebben gebruikt krijgen van de onderzoeker het advies om een nieuwe creditcard aan te vragen. Daarnaast moet ook andere bij de webwinkels ingevulde informatie als gecompromitteerd worden beschouwd.

Reacties (9)
12-05-2020, 14:40 door Anoniem
Waarom is er geen lijst waarop je kunt zien of je daar gewinkeld hebt?
12-05-2020, 15:11 door SPer
PayPal is your friend ;-) totdat PayPal gehackt wordt .....
12-05-2020, 15:49 door Anoniem
Door Anoniem: Waarom is er geen lijst waarop je kunt zien of je daar gewinkeld hebt?

Die lijst is er: https://maxkersten.nl/2020/05/06/backtracking-magecart-infections/#raw-results
12-05-2020, 15:50 door Spiff has left the building
Door Anoniem, 14:40:
Waarom is er geen lijst waarop je kunt zien of je daar gewinkeld hebt?
Zie de link die de redactie biedt, onder Raw results:
https://maxkersten.nl/2020/05/06/backtracking-magecart-infections/#raw-results
12-05-2020, 16:09 door Anoniem
Het gebruik van deze tool moet toch ook al av scanners laten aanslaan, of niet? Kan verdacht zijn.

Zie: https://obfuscator.io/ & https://github.com/javascript-obfuscator/javascript-obfuscator
Voorbeeld

style="word-wrap: break-word; white-space: pre-wrap;">const a0a = ['woDCpwdbwqXDscKcBk9r',
'PE57Ti8=',
'RUtLw6DCiQ==',
'CMKVwpbDh18=',
'K8K3eCNq',
'DsKkwqXDgcOS',
'w4vCnE9OTw==',
'w5TDsRx8RMOsKMOudcKV',
'w4zCtMOaw63DoynDkhY=',
'w7nDlz9yWg==',
'EMKtMCbCtA==',
'HUV+bBEPwqsnw5cKO8OeRg1gWD3CmQFoVcKVw6diMsKn',
'w4vCvmsKCg==',
'wqPCn8KOwqLChHjCrMKKwrI=',
'GMKzwpjDrHY=', etc.

luntrus
12-05-2020, 18:21 door Anoniem
Door Anoniem: Waarom is er geen lijst waarop je kunt zien of je daar gewinkeld hebt?
Wel klagen, maar zelf te beroerd om te zoeken!
12-05-2020, 20:52 door Anoniem
Netcraft extension heeft bij mij al meerdere waarschuwingen afgegeven. Heeft iemand ervaring met Netcraft of is er een ander en beter middel?
13-05-2020, 10:13 door Anoniem
@ anoniem van 20:25

Netcraft kan heel wat achterliggende info geven over een client a.k.a. website en m.n. de (web)server.
MX tools geeft ook wel wat aanvullende info of RECX Security Analyzer scan direct op de betrokken magento webshop site
.
Maar het eenvoudigste is om een Magento webshop adres even hier te scannen: https://www.magereport.com/

In het rapport van Kersten staat:
Availability
The availability of the affected web shops is measured by checking if the site was still operational. Using the Way Back Machine, Google, and DuckDuckGo the branch and country could be retrieved for some of the unreachable sites. From the 1236 web shops in total, 70% was reachable.

Hij gebruikte zelf een zoekactie via: https://urlscan.io/, te combineren met shodan.io of dazzlepod.ip scannetje.

Maar zoals gezegd, magereport geeft de juiste informatie met alle updates en patches, die NIET zijn uitgevoerd.

So, look before you leap, betekent hier: scan eer je naar die webshop gaat. Have a nice day,

luntrus
13-05-2020, 13:15 door Anoniem
Door Anoniem: @ anoniem van 20:25

Netcraft kan heel wat achterliggende info geven over een client a.k.a. website en m.n. de (web)server.
MX tools geeft ook wel wat aanvullende info of RECX Security Analyzer scan direct op de betrokken magento webshop site
.
Maar het eenvoudigste is om een Magento webshop adres even hier te scannen: https://www.magereport.com/

In het rapport van Kersten staat:
Availability
The availability of the affected web shops is measured by checking if the site was still operational. Using the Way Back Machine, Google, and DuckDuckGo the branch and country could be retrieved for some of the unreachable sites. From the 1236 web shops in total, 70% was reachable.

Hij gebruikte zelf een zoekactie via: https://urlscan.io/, te combineren met shodan.io of dazzlepod.ip scannetje.

Maar zoals gezegd, magereport geeft de juiste informatie met alle updates en patches, die NIET zijn uitgevoerd.

So, look before you leap, betekent hier: scan eer je naar die webshop gaat. Have a nice day,

luntrus
Dank je!!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.