Nu undersøger Nets danske skimming-domæner

19. oktober 2016 kl. 06:291
Javascript-skimming på flere danske domæner får nu Nets til at kigge nærmere på enkelte web-butikker.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Adskillige danske domæner har figureret på en liste over web-butikker, som er inficeret med ondsindet kode, der skimmer kunders betalingskortoplysninger. Nu vil Nets, der blandt andet forestår Dankort-betalinger på nettet, se nærmere på domænerne.

Version2 fortalte i sidste uge, torsdag, at 29 danske domæner befandt sig på en liste, som den hollandske sikkerhedsforsker Willem de Groot havde scannet sig frem til.

Domænerne lader ifølge de Groot til at være inficeret med ondsindet Javascript-kode, der har tappet betalingskortoplysninger, som kunderne har indtastet, hvorefter koden kan have sendt oplysningerne direkte i hænderne på kriminelle.

De berørte butikssider er for en stor dels vedkommende formentligt blevet inficeret som følge af ikke-opdateret butiks-software.

Artiklen fortsætter efter annoncen

Version2 har ved selvsyn observeret javascript-koden, som de Groot har udpeget som ondsindet, på flere af de danske domæner.

Det er uvist, hvor længe de danske domæner har været inficeret med softwaren. Det står dog fast, at der ikke længere er tale om 29 ramte domæner.

Ifølge en ajourført liste, der er påført datoen 17. oktober, er tallet nede på 18.

Altså er 11 danske domæner tilsyneladende renset, siden sagen kom frem i sidste uge.

Nets undersøger

Version2 gjorde Nets opmærksom på situationen i sidste uge. I en mail oplyser kommunikationskonsulent hos Nets Ulrik Marschall, at Nets på baggrund af Version2's henvendelse nu er opmærksom på Javascript-skimming-problemet, og at man er ved at undersøge sagen med de butikker under .dk-domæner, som har en Dankort-aftale.

Artiklen fortsætter efter annoncen

»Vi undersøger det, og hvis vi finder ud af noget, så sidestiller vi det med skimming i den fysiske verden, og så reagerer vi på det.«

Hvis der havde været skimming-udstyr i den fysiske verden, ville Nets foretage en vurdering af, hvor længe skimming-udstyret har opsamlet kortoplysninger, og så spærre betalingskort, som Nets overvåger på vegne af en række banker.

Ulrik Marschall forklarer, at Nets optræder som kortindløser i de tilfælde, en webshop modtager Dankort, ligesom Nets kan være kortindløser, når en webshop modtager Visa eller Mastercard - i forhold til de udenlandske betalingskort kan der også være andre indløsere end Nets.

Nets' rolle som indløser vil blandt andet sige, at den såkaldte payment-service-provider - der leverer betalingskortmodulet til web-butikken - skal være certificeret af Nets. Nets agerer også selv som payment-service-provider.

Artiklen fortsætter efter annoncen

Payment-service-provideren skal godkendes af et eksternt revisionsfirma en gang om året. Blandt andet i forhold til, om sikkerheden er på plads.

»En revision skal eksempelvis fange, hvis der er sikkerhedsopdateringer, der ikke er blevet installeret, som burde være blevet det.«

Der kan jo nå at blive installeret meget malware i løbet af et år?

»Ja, bestemt. Men der er en revision, og vi reagerer naturligvis også med det samme, hvis vi i den mellemliggende periode får mistanke om, at der kan være uregelmæssigheder, der ikke lever op til sikkerhedsstandarderne,« oplyser Ulrik Marschall.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
19. oktober 2016 kl. 23:15

at en artikel på Version2 kan få folk til at holde op med at trække på skuldrene.