29 danske domæner på aktuel liste over hackede online-butikker

Adskillige danske webbutikker optræder på liste over domæner, der ser ud til at indeholde malware, som stjæler betalingskortoplysninger.

Opdateret, fredag kl. 13.10. Den originale liste over berørte domæner er blevet fjernet fra GitHub. Redaktionen har opdateret linket, så det peger på en kopi af den liste, der blev offentliggjort 12. oktober. Kopi-listen holdes altså ikke ajour, som det var tilfældet med det oprindelige link.

Normalt er skimming noget der forbindes med fysisk udstyr sat på hæveautomater til at aflure betalingskort-informationer. Fænomenet ser dog også ud til at trives i bedste velgående på online-butikker, også i Danmark.

Den hollandske sikkerhedsforsker Willem de Groot har registreret adskillige domæner med e-commerce-softwaren Magento, der indeholder ondsindet javascript-kode.

Den ondsindede kode fungerer i praksis som en fysisk skimmer. Koden registrerer, når brugere på sitet indtaster deres kortoplysninger. Oplysningerne bliver herefter sendt videre i hænderne på kriminelle.

Som Version2 kunne fortælle i sidste uge, havde de Groot opdaget et sådant script på en web-butik knyttet til det amerikanske parti Republikanerne.

Ifølge de Groot har domænet således i månedsvis sendt betalingskortoplysninger til en russisk-sproget server.

Af en liste som de Groot holder løbende opdateret ser ca. 5800 domæner(Link til Version2's kopi af listen, som er genereret 12. oktober. Denne liste holdes ikke løbende opdateret, red.) i skrivende stund ud til at være inficeret med lignende javascript-kode. Altså kode som ligger på hjemmesiden og som scanner betalingskort-oplysninger, som kunden indtaster, og sender dem videre til en server.

Da det er selve den side, kunden indtaster oplysninger i, der er inficeret, så har den ondsindede kode og dermed den eller de kriminelle bagmænd i udgangspunkt adgang til oplysningerne i klartekst.

Derfor spiller det ingen rolle, om forbindelsen til hjemmesiden er krypteret (https) eller om betalingskort-oplysningerne måtte blive opbevaret krypteret i en database.

På de Groots liste, der står som værende opdateret i går, optræder 29 danske domæner. Version2 har lavet en stikprøve på flere af domænerne. Det lader til at dreje sig om mindre online-butikker, hvor det altså er muligt at anvende betalingskort.

Obfuskeret kode

Version2 har også kigget i den bagvedliggende HTML-kode på et par af domænerne. I bunden af koden optræder, hvad der ser ud til at være heftigt obfuskeret javascript-kode. Altså computerkode, der er gjort bevidst svær for mennesker at læse, så kodens funktionalitet bliver vanskelig at gennemskue.

Den kode, som de Groot fandt hos Senate Republicans var også obfuskeret, men koden er forskellige fra den, der ligger på de danske domæner.

Selvom javascript-koden på de danske domæner i Version2's stikprøve er obfuskeret, behøver koden ikke i sig selv at være ondsindet. Men det er den med al sandsynlighed. De Groot har kortlagt hele ni varianter af den ondsindede kode. Og en af varianterne matcher den kode, Version2 har fundet hos flere danske online-butikker.

Version2 har været i kontakt med en indehaver af en dansk online-butik, hvor domænet optræder på listen over inficerede butikker. Indehaveren ønsker ikke at medvirke i en artikel, men han oplyser, at der har været en episode, hvor hjemmesiden blev lukket ned, mens sitet blev renset. Hvis sitet har været renset, ser det dog ud til at være blevet inficeret igen. Vi har gjort butiksindehaveren opmærksom på dette.

Til det britiske medie The Register oplyser de Groot, at skimming-angrebene ser ud til at være påbegyndt maj sidste år. Han vurderer at hundredtusindvis af kortoplysninger er blevet stjålet i den forbindelse. Hvor længe de danske domæner måtte have været inficeret er uvist.

De Groot fortæller også, at han har været i kontakt med flere online-butiksindehavere, der ser ud til at være blevet hacket. De virker ikke synderligt påvirkede at situationen.

»Jeg har kontaktet et par, men for det meste fik jeg blot et 'tak, men vi er sikre, ingen problemer' retur eller et 'vi er sikre, fordi vi bruger https', eller 'vi er sikre fordi vi har et Symantec security seal (sikkerhedsmærke på sitet, red.),« siger de Groot til The Register.

Ifølge mediet er inficeringen af online-butikkerne sket via mindst en konkret bug, der blev patched i april sidste år. Eller den burde i hvert fald være blevet patched.

Version2 arbejder på at få en kommentar fra Dankort-bestyreren Nets i forhold til, at adskillige danske webbutikker ser ud til at være inficeret med kode, der kan sende kortoplysninger direkte i hænderne på forbrydere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Møllerhøj Journalist

Virksomt link: https://gist.github.com/gwillem/e7c77b77d508928ad67860970c366cae

Hej. Tak. Denne liste er så vidt jeg ved kun over ny-tilkomne 'skimming'-shops i en periode fra den seneste opdatering - jf. 'Online stores that were fitted with skimming software in the last 48 hours' Altså 170 nye.

Vi forsøger at opklare, hvad der blev af den komplette live-liste. Jakob - V2

Ps. hvis nogen finder den, så sig gerne til.

Henning Mølsted Journalist

En debattør har tidligere i dag offentliggjort listen over danske domæner, som er ramt.

Vi har valgt at fjerne denne liste.

Det mest optimale ville være hvis vi kunne henvise til den opdaterede onlineliste, men Github har valgt at fjerne den, således at den pt. ikke er umiddelbart tilgængelig.

Vi forstår imidlertid godt at der er et stort behov for mange forbrugere for at tjekke, om den eller de webshop(s) man har handlet i, optræder på listen.

Derfor vil vi snarest offentliggøre den fulde liste i en offline version, som omfatter både danske og udenlandske domæner.

De danske domæner adskiller sig efter al sandsynlighed ikke fra de øvrige tusinder af ramte domæner, og derfor giver det ikke mening med navn offentliggøre de danske domæner alene.

Desuden handler danske forbrugere også i udenlandske webshops, hvilket også er et argument for at vise samtlige ramte domæner.

Vi har ved en stikprøve tjekket enkelte domæner for om de er ramt af det ondsindede script og har konstateret, at det er korrekt, at det findes de steder, vi har kigget.

Vi har dog desværre ikke ressourcer til at efterprøve alle domæner.

Henning Mølsted, redaktør.

Robert Winther

Det var mig der offentliggjorde listen.

Hvis argumentet for at slette listen er, at de 29 danske domæner ikke er væsentlig mere interessante for os end de udenlandske, kan det undre at I har valgt en overskrift der hedder "29 danske domæner på aktuel liste over hackede online-butikker".

Derfor vil vi snarest offentliggøre den fulde liste i en offline version, som omfatter både danske og udenlandske domæner.

Det lyder spændende. Kigger man så forbi jeres kontor hvis man vil se offline-versionen? ;-)

Dave Pencroof

Jeg syntes at det er vildt fantastisk, at man her og andre steder, sætter pengene langt højere end individets ret til at passe på sin virkelighed, næh nej lad dog endeligt den enkelte svømme forvirret/uvidende rundt, specielt efter sådanne en vidunderlig overskrift !
Det stinker langt væk af hykleri og fuck den enkelte, hellere lad maskineriet køre viljeløst der ud af, end at tage fat om roden til dette slapsvanseri/ligegyldighed, hellere holde den synkende skude flydende end skaffe en der er sund og rask !
Når store og små virksomheder pisser på sikkerheden i pengenes navn, så skal de squ blotlægges ASAP, så de kan lære af deres fejl/skødesløshed, det er jo ikke dem der skal kæmpe kampen mod identitetstyveriet, som er blevet vist er ekstremt langvarig-aldrig sluttende, fordi politikere og politi syntes det er nær umuligt at opretholde et samfund !
Så eneste måde at ordne denne slags sager på er offentliggørelse, så vi kan se dem der ikke gør hvad de skal, og ad den vej tvinge dem til at rette ind, og sørge for ordentlig sikkerhed !

Henning Hansen

Fik min VISA/Dankort spærret af Nets på den første dag af en ferie i Sydfrankrig i sidste uge - uden forklaring - det er vildt irriterende, man bør i det mindste få en begrundelse for pludselig at stå der uden betalingsmiddel.
Lære: Hav altid 1000 Euro i lommen i udlandet...
For slet ikke at tale om alle de betalingsaftaler, hvor man ikke har noget alternativ (PBS er ret upopulært derude).
NB: Der har ikke været misbrug.

Log ind eller Opret konto for at kommentere