'Visa' heeft webwinkels gewaarschuwd voor een nieuwe malware die creditcardgegevens van klanten probeert te stelen.
De malware wordt "Baka" genoemd en is volgens Visa, gebaseerd op het ontwerp, door een ervaren ontwikkelaar gemaakt. De creditcardmaatschappij heeft Baka begin dit jaar bij meerdere webshops wereldwijd aangetroffen.
Steelt klanten gegevens
Baka wordt door criminelen aan webwinkels toegevoegd, bijvoorbeeld door gebruik te maken van kwetsbaarheden in het webwinkel platform of gecompromitteerde inloggegevens. De malware laadt JavaScript van een externe server die gegevens steelt die klanten op de bestelpagina invoeren.
Naast creditcardgegevens kan het dan ook om persoonlijke data gaan, zoals namen, e-mailadres, telefoonnummer en adresgegevens. De code die voor het stelen van de gegevens verantwoordelijk is wordt in het geheugen van de server geladen en is nooit aanwezig op de server van de webwinkel.
Schadelijke loader decodeert en voert het JavaScript uit dat is geladen vanaf de server van de aanvaller
Xor algoritme
Wat verder opvallend aan de Baka-malware is, is het gebruik van obfuscatie via het Xor-algoritme, aldus Visa.
Het gebruik van Xor door malware is niet nieuw, maar volgens de creditcardmaatschappij is het de eerste keer dat het algoritme door een JavaScript-skimmer wordt gebruikt.
In de waarschuwing geeft Visa verder een uitgebreide uitleg van hoe de malware precies werkt en met welke domeinen de malware verbinding maakt.
Risicobeperkende maatregelen
- Stel terugkerende controles in bij e-commerce-omgevingen die communiceren met de C2's.
- Zorg voor vertrouwdheid en waakzaamheid met code die is geïntegreerd in eCommerce-omgevingen via
dienstverleners. - Nauwgezet gebruik van Content Delivery Networks (CDN) en andere bronnen van derden.
- Scan en test eCommerce-sites regelmatig op kwetsbaarheden of malware. Huur een vertrouwde professional of serviceprovider in met een reputatie van beveiliging om de e-commerce omgeving te beveiligen. Stel vragen en vraag een gedegen rapport. Vertrouw, maar verifieer de stappen die zijn genomen door het bedrijf dat u inhuurt.
- Zorg er regelmatig voor dat het winkelwagentje en andere services software worden geüpgraded of gepatcht naar de nieuwste versies om aanvallers buiten de deur te houden. Stel een Web Application Firewall in om te voorkomen dat cybercriminelen uw website kunnen bereiken.
- Beperk de toegang tot het admin portal en accounts voor enkel degene die ze nodig hebben.
- Vereis sterke beheerders wachtwoorden (gebruik een wachtwoordmanager voor het beste resultaten) en schakel tweefactorauthenticatie in.
- Overweeg om een volledig gehoste betalingsoplossing te gebruiken waarbij klanten hun betalingsgegevens invoeren op een andere webpagina die wordt gehost door die betalingsdienst los van de site van de verkoper. Dit is de veiligste manier om de handelaar en zijn klanten te beschermen tegen e-commerce skimming-malware.
- Implementeer best practices voor het beveiligen van e-commerce, zoals uiteengezet door de PCI Security Standards Council.
- Raadpleeg het document 'Wat te doen als u gehackt bent' (WTDIC) van Visa, gepubliceerd in oktober 2019.
Bron: visa.nl, security.nl