Sikkerhedsforsker: Betalingskort-stjælende kode nu målrettet større webshops (også i Danmark)

Illustration: 13FTStudio/Bigstock
Der er gang i den it-kriminelle forretning med at skyde skimmer-scripts ind på ellers legitime webshops. Teknikken rammer også i Danmark, fortæller hollandsk sikkerhedsforsker.

Hvis en webshop ikke har styr på sikkerheden, risikerer man, at it-kriminelle lister et skimmer-script ind på sitet, der stjæler kundernes betalingskort-oplysninger. Den form for tyveri er ifølge den hollandske sikkerhedsforsker Willem de Groot populær.

Han driver en tjeneste, der scanner webshops for den form for ondsindede scripts. Og ifølge de Groot er det et kriminelt marked i vækst.

»Det virker meget profitabelt, fordi mange mennesker bevæger sig ind på dette område, og der er et helt marked bygget op omkring det. Det vil sige, at folk bygger værktøjer til at hacke ind i sites med, folk bygger værktøjer til administration af stjålne betalingsdata, og folk bygger også værktøjer til salg af betalingsdata på dark web,« siger Willem de Groot i et interview med Version2.

Forleden kom det frem, at den danske mode- og brugskunstforretning Bahne har haft et ondsindet skimmer-script liggende på sin webshop, hvilket fik virksomheden til at pille butikken offline i tre timer på Black Friday.

Willem de Groot havde inden da scannet sig frem til, at der kunne være noget galt på bahne.dk.

Læs også: Bahne advarer kunder efter script injection: Spær dit betalingskort - det kan være blevet misbrugt

Bahne er langtfra ene om at få den slags ubuden kode lagt på hjemmesiden. Willem de Groot fortæller, at han har scannet sit frem til op mod 7.000 sites, der, da Version2 taler med ham, ser ud til at indeholde skimmer-kode.

Tallet var ca. det samme, da Version2 interviewede de Groot i 2016 om samme form for it-kriminalitet. Men ifølge sikkerhedsforskeren er der sket en udvikling i forhold til de kriminelles fremgangsmåde.

Læs også: 29 danske domæner på aktuel liste over hackede online-butikker

Hullet tredjepartssoftware

Han fortæller, at de it-kriminelle dengang gik efter upatchede huller i mindre webshops, men i dag er større butikker også blevet et mål. Og nu er det ikke længere manglende patches, der er problemet.

»Det plejede at være tilfældet, men sådan er det ikke mere. De fleste butikker er tilstrækkeligt patchede i dag,« siger Willem de Groot.

Når det trods opdateret software alligevel lykkedes de kriminelle at snige ond kode ind på legitime sites, så sker det ifølge sikkerhedsforskeren dels via hullet tredjepartssoftware, altså plug-ins til webshop-softwaren, og så kan de kriminelle også have held til at gætte kodeord på brugerkonti, der har adgang til backend.

Hvad angår hullerne i tredjepartssoftwaren, så kan der ifølge de Groot ligefrem være tale om en form for zero-day-exploits. Altså huller, der ikke er en formel patch til. Sikkerhedsforskeren forklarer, at kvaliteten af tredjepartssoftwaren - det kan være forskellige former for CMS-plugins - ofte er dårligere end selve butiksplatformen.

Leverer scanningstjeneste

Da Version2 første gang talte med Willem de Groot tilbage i 2016, beskæftigede han sig med e-commerce og platformen Magento. I dag arbejder han på fuld tid med sikkerhed og scanning for ondsindede scripts på blandt andet Magento-baserede systemer.

De Groots fortæller, at hans scanner holder øje med mere end tusind indikatorer, der kan sige noget om, hvorvidt et ondsindet script er lagt på et site. Eksempelvis simulerer han besøg fra en rigtig kunde i webshoppen. Og hvis data indtastet i en form i den forbindelse bliver sendt til en server, som ikke befinder sig i samme land som sitet, så er det mistænkelig opførsel, som Willem de Groot undersøger nærmere.

Og viser det sig, at der faktisk er tale om ondsindet kode, så tjekker de Groot andre sites for lignende kode.

»Jeg sælger det som en tjeneste til betalingsselskaber, så de kan slå ned på svindel,« siger han.

Ifølge de Groot kan det tage uger, fra svindel bliver registeret, til en kompromitteret webshop bliver identificeret som fællesnævner for de misbrugte kort.

»Med min scanner kan de reducere det ned til måske 24 timer, så det er min forretning,« siger han.

Har opgivet at kontakte forretninger selv

Forretningens natur taget i betragtning så taler sandsynligheden for, at Willem de Groot konstant ligger inde med oplysninger om igangværende skimming af kortoplysninger på diverse hjemmesider.

Et nærliggende spørgsmål er, hvad han gør med disse oplysninger.

Forsøger han eksempelvis at kontakte de berørte forretninger på egen hånd?

»Det plejede jeg at forsøge på, men jeg opgav, fordi det næsten var umuligt at få fat i den rette person i røret. Og selv hvis jeg fik lov at tale med it-chefen, så er det ikke i hans interesse at anerkende, at der har været et problem, så de er tilbøjelige til at feje det ind under gulvtæppet.«

Willem de Groot kontakter altså ikke længere de berørte sites.

»Det er bogstavelig talt spild af min tid. Det nytter ikke. De ignorerer mig, eller endnu værre, så bliver de sure på mig, fordi de tror, jeg har noget at gøre med det.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Lysemose

Den moral "forskeren" udviser må vel kategoriseres som grey hat:

when they discover a vulnerability, instead of telling the vendor how the exploit works, they may offer to repair it for a small fee. When one successfully gains illegal access to a system or network, they may suggest to the system administrator that one of their friends be hired to fix the problem

https://en.wikipedia.org/wiki/Grey_hat

  • 0
  • 0
Log ind eller Opret konto for at kommentere