E-skimming: snel groeiend gevaar voor webshops

Haast iedereen weet wel wat het skimmen van pinpassen is. De online variant e-skimming is echter, ondanks een snelle stijging van het aantal gevallen, een stuk onbekender. Door malware te injecteren in webshops kunnen cybercriminelen betalingsgegevens van nietsvermoedende klanten buitmaken tijdens het check-out-proces. Wat is e-skimming precies? Hoe werkt het? En hoe kunnen bedrijven met een webshop het voorkomen?

Bij skimming kopiëren criminelen de magneetstrip van een pinpas en bemachtigen ze de pincode. Door vervolgens een kopie te maken van de pas, kunnen ze betalingen verrichten en geld opnemen. E-skimming, dat ook wel web skimming wordt genoemd, is een techniek waarbij een stukje code wordt toegevoegd aan een website waardoor de cybercriminelen betalingsgegevens kunnen stelen. Het aantal gevallen van deze relatief nieuwe vorm van cybercriminaliteit neemt snel toe, onder andere omdat criminelen de malware online met elkaar delen.                

Wat is e-skimming?

Bij e-skimming injecteren hackers kwaadaardige code in een legitieme webwinkel, waardoor het check-out-proces kan worden overgenomen. Rekent de klant af, dan sturen de criminelen de betalingsgegevens naar een eigen server. Daarna verkopen ze deze gegevens of proberen ze er zelf mee te frauderen.

Cybercriminelen kunnen op verschillende manieren code toevoegen aan een webshop. Bijvoorbeeld door een server te hacken, via een phishing-aanval, door een bekende kwetsbaarheid in de software te misbruiken of door toegang te krijgen tot de backend via een brute force-attack.


Whitepaper: 'Basisbeveiliging'

Zo beperkt u het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.

Download


Een onzichtbare aanval

Webshops worden steeds uitgebreider en complexer, waardoor het aanvalsoppervlak toeneemt en het dus lastiger wordt om een site te beveiligen. Veel content management systemen (CMS) voor webshops zoals WooCommerce en Magento zijn open source, waardoor hackers makkelijk kwetsbaarheden in de broncode kunnen opsporen. Webshops installeren vaak kant-en-klare functionaliteiten in de vorm van plug-ins, extensies of widgets en die kunnen e-skimming-malware bevatten. Een stukje Magento-code dat op GitHub beschikbaar was gesteld, heeft bijvoorbeeld minstens 200 webshops geïnfecteerd.

Een vervelende bijkomstigheid: e-skimming is niet te herkennen voor webshop-klanten en nauwelijks te detecteren voor webshop-beheerders. De kwaadaardige code heeft niets te maken met het slotje in de adresbalk en virusscanners blijven stil als de website in kwestie nog niet is geblacklist. Vaak duurt het maanden voordat de malware wordt ontdekt; een eerste teken is vaak een melding van de bank dat er een frauduleuze transactie is geweest.

Hoe kunnen bedrijven e-skimming voorkomen?

Heb je als bedrijf een webshop en wil je e-skimming voorkomen, volg dan deze tips::

  1. Installeer software-updates altijd meteen. Contentmanagementsystemen (CMS’en) komen regelmatig met updates die beveiligingslekken dichten. Zodra zo’n update uitkomt, kunnen cybercriminelen actief op zoek gaan naar sites die de update niet hebben geïnstalleerd. Vergeet ook niet om updates van besturingssystemen en applicaties alsmede firmware van alle apparaten in het bedrijfsnetwerk direct te installeren.
  2. Minimaliseer het gebruik van externe codes voor je website. Gebruik alleen software van derden die essentieel is voor je bedrijf.
  3. Beoordeel softwareleveranciers op cybersecurity. Kijk onder meer naar zaken als de kwaliteit van de code, het updatebeleid en de bescherming van zowel de code, servers als communicatie.
  4. Gebruik sterke wachtwoorden en tweefactorauthenticatie en verander direct alle standaard inloggegevens (zoals de gebruikersnaam ‘admin’). Dat geldt niet alleen voor je website, maar voor al je systemen en applicaties.
  5. Stel een content security policy (CSP) in. Daarmee kun je diverse soorten aanvallen voorkomen door beperkingen voor je website of webapplicatie te definiëren. In je CSP leg je vast welke diensten informatie mogen verzamelen op je site. Als de dienst die cybercriminelen gebruiken niet genoemd wordt, kunnen ze de betalingsgegevens niet versturen naar hun eigen server.
  6. Monitor alle webservers. Detecteer wanneer aanvallers proberen binnen te dringen.
  7. Train medewerkers. Zorg bijvoorbeeld dat ze phishing-mails herkennen, sterke wachtwoorden gebruiken en alarm slaan bij ongebruikelijke situaties.
  8. Zorg voor een cultuur waarin cybersecurity altijd op de eerste plaats komt.
  9. Laat een externe penetration test (pentest’) uitvoeren.

Gerelateerde artikelen