Onderzoekers hebben een Magecart-campagne gevolgd die zich richt op verschillende grote betalingsproviders, waaronder American Express, Diners Club, Discover en Mastercard.
Magecart is een overkoepelende term voor criminele groepen die gespecialiseerd zijn in het stelen van betalingsgegevens van online betaalpagina's met behulp van kwaadaardige JavaScript, een techniek die bekend staat als web skimming.
In het begin was Magecart een losse coalitie van cybercriminelen die zich richtten op webwinkels die gebruik maakten van Magento. Tegenwoordig wordt de naam breder gebruikt om web-skimming-operaties tegen veel e-commerceplatforms te beschrijven. Bij deze aanvallen injecteren criminelen JavaScript in legitieme betaalpagina's om kaartgegevens en persoonlijke gegevens te onderscheppen wanneer shoppers deze invoeren.
De campagne die door de onderzoekers wordt beschreven, is sinds begin 2022 actief. Ze ontdekten een uitgebreid netwerk van domeinen die verband houden met een langlopende operatie voor het skimmen van creditcards met een groot bereik.
"Deze campagne maakt gebruik van scripts die gericht zijn op ten minste zes grote betalingsnetwerkproviders: American Express, Diners Club, Discover (een dochteronderneming van Capital One), JCB Co., Ltd., Mastercard en UnionPay. Bedrijven die klant zijn bij deze betalingsproviders lopen het grootste risico om getroffen te worden."
Aanvallers plaatsen doorgaans websimmers op e-commercesites door misbruik te maken van kwetsbaarheden in toeleveringsketens, scripts van derden of de sites zelf. Daarom moeten eigenaren van webwinkels waakzaam blijven door hun systemen up-to-date te houden en hun contentmanagementsysteem (CMS) te monitoren.
Webskimmers haken zich meestal in de afrekenprocedure in met behulp van JavaScript. Ze zijn ontworpen om formuliervelden met kaartnummers, vervaldata, kaartverificatiecodes (CVC) en factuur- of verzendgegevens te lezen en die gegevens vervolgens naar de aanvallers te sturen.
Om detectie te voorkomen, is de JavaScript sterk versleuteld en kan deze zelfs een zelfvernietigingsroutine activeren om de skimmer van de pagina te verwijderen. Hierdoor kunnen onderzoeken die via een beheerderssessie worden uitgevoerd, onverdacht lijken.
Naast andere methoden om verborgen te blijven, maakt de campagne gebruik van bulletproof hosting voor een stabiele omgeving. Bulletproof hosting verwijst naar webhostingservices die zijn ontworpen om cybercriminelen te beschermen door opzettelijk klachten over misbruik, verzoeken tot verwijdering en wetshandhavingsmaatregelen te negeren.
Hoe blijf ik veilig
Magecart-campagnes hebben gevolgen voor drie groepen: klanten, handelaren en betalingsproviders. Omdat websimmers binnen de browser werken, kunnen ze veel traditionele fraudecontroles aan de serverzijde omzeilen.
Hoewel shoppers zelf geen gecompromitteerde betaalpagina's kunnen repareren, kunnen ze wel hun blootstelling verminderen en hun kansen vergroten om fraude vroegtijdig op te sporen.
Een paar dingen die u kunt doen om u te beschermen tegen het risico van websimmers:
- Gebruik virtuele of wegwerpkaarten voor online aankopen, zodat elk gestolen kaartnummer een beperkte geldigheidsduur en bestedingsruimte heeft.
- Schakel waar mogelijk transactiewaarschuwingen (sms, e-mail of app-push) voor kaartactiviteiten in en controleer regelmatig uw afschriften om ongewenste kosten snel op te merken.
- Gebruik sterke, unieke wachtwoorden op bank- en kaartportalen, zodat aanvallers niet gemakkelijk van gestolen kaartgegevens kunnen overschakelen naar volledige account-overname.
- Gebruik een webbeveiligingsoplossing om te voorkomen dat u verbinding maakt met schadelijke domeinen.
Pro-tip: Malwarebytes Browser Guard is gratis en blokkeert bekende schadelijke websites en scripts.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
