Wat hebben zij gemeen met elkaar? Het Click2Gov online utility betalingssysteem
Pas op als u uw rekeningen betaalt voor lokale overheidsdiensten - de betalingsinformatie die u in dat webformulier typt, kan rechtstreeks naar cybercriminelen gaan.
Beveiligingsexperts bij Trend Micro verslag dat ze acht steden in de Verenigde Staten hebben geïdentificeerd waar online betalingsportalen zijn gehackt om de Magecart-stijl creditcard skimming-code te hosten.
Magecart is een familie van Javascript-malware die wordt gebruikt om creditcardgegevens en persoonlijke informatie te stelen van nietsvermoedende internetgebruikers tijdens hun interactie met websites - vaak als gevoelige gegevens worden ingevoerd om een aankoop te doen.
Wat dit type aanval vaak ernstiger maakt dan een conventioneel datalek, is dat de meeste bedrijven niet uw volledige creditcardgegevens opslaan, zoals uw CVV-beveiligingscode. Maar die gegevens worden door consumenten ingevoerd op online afrekenformulieren en kunnen worden gestolen door een kwaadaardig script dat verborgen is in de code van de website.
Zoals Trend Micro uitlegt, is de gemeenschappelijke factor tussen de getroffen websites die ze hebben ontdekt dat ze allemaal het Click2Gov-platform van derden gebruiken:
Deze sites lijken allemaal te zijn gebouwd met Click2Gov, een webgebaseerd platform dat bedoeld is voor gebruik door lokale overheden. Het wordt gebruikt om diensten te leveren zoals gemeenschapsbetrokkenheid, probleemrapportage en online betaling voor lokale overheden. Bewoners kunnen het platform gebruiken om te betalen voor stadsdiensten, zoals nutsvoorzieningen.
Volgens de onderzoekers begonnen de aanvallen op de acht niet nader genoemde Amerikaanse steden in april, toen kwaadaardige Javascript-code op de websites werd geplant, waarbij stilzwijgend creditcardgegevens en persoonlijke gegevens van bewoners werden verzameld toen ze deze in online betalingsformulieren vulden.
In tegenstelling tot andere skimmers die gegevens over verschillende soorten betalingsformulieren verzamelen, is de skimmer die hier wordt gebruikt vrij eenvoudig en werkt alleen op een Click2Gov-betalingsformulier. Er werden geen verduistering of anti-foutopsporingstechnieken gebruikt. De skimmer haakt het evenement van het betalingsformulier in; wanneer een slachtoffer op de knop klikt om de betalingsinformatie te verzenden, zal de skimmer de informatie uit de geselecteerde kolommen in het betalingsformulier halen en de verzamelde informatie onmiddellijk naar een externe server sturen via een HTTP POST-verzoek.
Details die door het script naar een externe server onder controle van de hackers zijn gefilterd, omvatten creditcardnummers, CVV-beveiligingscodes, vervaldata van de kaart, naam, adres en postcode van de kaarthouder.
Simpel, de skimming-code kan zijn, maar dat betekent niet dat het niet effectief is.
Terecht of onterecht verdient Click2Gov zichzelf een slechte reputatie. De afgelopen jaren zijn beveiligingsonderzoekers dat geweest aanvallen volgen gelanceerd tegen het Click2Gov-betalingsportaal, met meldingen van inbreuken op stadswebsites die zich uitstrekt over de Verenigde Staten en Canada.
Eind vorig jaar bijvoorbeeld, heeft de stad College Station haar Click2Gov online betalingssysteem voor nutsvoorzieningen toegelaten was gehackt voor enkele maanden, zoals de Click2Gov-portal van de stad Waco voor betalingen van waterrekeningen.
Het is de taak van steden om best practices te volgen bij het bouwen en onderhouden van haar online betalingssystemen, om ervoor te zorgen dat patches en beveiligingsupdates tijdig worden toegepast en dat netwerken goed worden beveiligd.
Ondertussen zouden andere websites met online betalingsformulieren er verstandig aan doen om te onthouden dat creditcardaanvallen niet beperkt zijn tot lokale overheden die betalingen van inwoners accepteren.
Er zijn magecart-achtige aanvallen gezien die een breed scala aan slachtoffers hebben getroffen, waaronder hotelketen boekingswebsites, academische campussen, evenals dergelijke Ticketmaster, British Airways, Forbes, Umbro, Vision Direct en Newegg.
Vond je dit artikel interessant? Volg Graham Cluley op Twitter om meer te lezen van de exclusieve inhoud die we plaatsen.
Bron: https://www.grahamcluley.com/websites-usa-cities-card-skimming/
