Een serieuze hackaanval heeft e-commercewebsites uitgebuit om creditcardgegevens van gebruikers te stelen en de aanval naar andere websites te verspreiden.
Deze hackaanvallen worden Magecart-achtige skimmers genoemd en verspreiden zich over de hele wereld via verschillende e-commerceplatforms.
Aanvallers richten zich op verschillende e-commerceplatforms:
Magento Shopify WooCommerce WordPress
Wat doet de aanval?
Aanvallers hebben twee doelen wanneer ze een website infecteren:
1. Gebruik de site om zich te verspreiden naar andere sites
2. Steel persoonlijke informatie, zoals creditcardgegevens, van klanten op de geïnfecteerde website.
Het identificeren van een kwetsbaarheid is moeilijk omdat de code die op een website wordt geplaatst, gecodeerd is en soms wordt gemaskeerd als een Google-tag of Facebook-pixelcode.
Akamai-screenshot
Wat de code echter doet, is de invoerformulieren voor creditcardgegevens targeten.
Het fungeert ook als tussenpersoon om namens de aanvaller aanvallen uit te voeren, waardoor de ware bron van de aanvallen wordt verdoezeld.
Skimmer in Magecart-stijl
Een Magecart-aanval is een aanval die binnenkomt via een bestaande kwetsbaarheid in het e-commerceplatform zelf.
In WordPress en WooCommerce kan het een kwetsbaarheid in een thema of plug-in zijn.
In Shopify kan het een bestaande kwetsbaarheid in dat platform zijn.
In alle gevallen maken aanvallers misbruik van kwetsbaarheden die aanwezig zijn in het platform dat wordt gebruikt door e-commercesites.
Dit is niet het geval wanneer er een enkele kwetsbaarheid is die gemakkelijk kan worden gepatcht. Het is een breed scala van hen.
In het rapport van Akamai staat:
“Voordat de campagne echt kan beginnen, gaan aanvallers op zoek naar kwetsbare websites die als ‘hosts’ fungeren voor de kwaadaardige code die later wordt gebruikt om de webcrawling-aanval uit te voeren.
… Hoewel het onduidelijk is hoe deze sites worden gehackt, zoeken aanvallers op basis van ons recente onderzoek naar eerdere soortgelijke campagnes doorgaans naar kwetsbaarheden in het digitale handelsplatform van de getargete websites (zoals Magento, WooCommerce, WordPress, Shopify, enz.) . .) of in kwetsbare diensten van derden die door de website worden gebruikt.”
Aangeraden actie
Akamai raadt alle e-commercegebruikers aan hun websites te beveiligen. Dit betekent ervoor zorgen dat alle apps en plug-ins van derden up-to-date zijn en dat het platform de nieuwste versie is.
Ze raden ook aan een webapplicatie-firewall (WAF) te gebruiken, die inbraken detecteert en voorkomt wanneer hackers een site onderzoeken op zoek naar een kwetsbare website.
Gebruikers van platforms zoals WordPress hebben meerdere beveiligingsoplossingen, en de meest populaire en vertrouwde zijn Sucuri Security (websiteverharding) en WordFence (WAF).
Akamai beveelt aan:
“…de complexiteit, implementatie, wendbaarheid en distributie van de hedendaagse webapplicatie-omgevingen, en de verschillende methoden die aanvallers kunnen gebruiken om webskimmers te installeren, vereisen meer specifieke beveiligingsoplossingen, die inzicht kunnen bieden in het gedrag van scripts die in de browser worden uitgevoerd en verdediging bieden tegen aanvallen aan de clientzijde.
Een passende oplossing moet dichter bij de daadwerkelijke aanval op klanten liggen. Het zou in staat moeten zijn om pogingen om gevoelige invoervelden en data-exfiltratie te lezen correct te identificeren (we gebruikten Akamai Page Integrity Manager in onze tests).
We raden aan om deze gebeurtenissen goed vast te leggen om snelle en effectieve mitigatie mogelijk te maken.”
Lees het originele rapport voor meer details:
Nieuwe campagne in Magecart-stijl die legitieme websites misbruikt om anderen aan te vallen
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
