Hoe wordt webskimming uitgevoerd?
Web skimming-aanvallen zijn in wezen aanvallen op de toeleveringsketen van software die honderden of duizenden websites kunnen bereiken met behulp van de geëxploiteerde webapplicatie van derden.
Aangezien Third-party HTML/JavaScript-code aan de website wordt geleverd vanuit een geheel andere repository waar de eigenaar van de website geen controle over heeft (en onmogelijk rechtstreeks kan controleren), richten hackers zich op deze zelfde Third-party webservers. Dit geeft de aanvaller ongeautoriseerde toegang tot alle Third-party bibliotheken. Het gaat er dan om de skimming-code in een van de bestaande JavaScript-bestanden te injecteren en te verbergen.
Wanneer een websitegebruiker/klant de website nu opent in een browser of een mobiel apparaat, wordt de schadelijke code samen met de legitieme Third-party code gedownload naar de browser van de gebruiker. Aangezien de kwaadaardige code wordt gedownload van de Third-party servers, heeft de website-eigenaar geen logs of indicaties die het bestaan van de kwaadaardige code aantonen of dat er zelfs maar iets verdachts aan de hand is.
Nadat de payload is uitgevoerd, begint het script met het verzamelen van betaalkaartnummers en persoonlijke informatie van alle ingevoerde gebruikersgegevens en stuurt deze naar de cybercriminelen, die later op het dark web worden verkocht. De meest voorkomende doelen – afreken- en betaalpagina's op websites. Om het nog erger te maken, blijven exploits van webskimming vaak lang hangen voordat ze worden ontdekt door de eigenaar van de website.
Hier zijn slechts een paar "enge" web skimming-technieken die recentelijk zijn gebruikt:
De Google-campagne - Beveiligingsonderzoekers hebben de Gocgle-campagne in 2020 aan het licht gebracht, die in wezen vanaf eind 2019 actief was, net als de COVID-19-pandemie. Deze kwaadaardige campagne is afgestemd op Google-producten zoals G-Analytics en gebruikt de griezelige naamgevingsovereenkomst om zowel gebruikers als beveiligingsteams te misleiden. Deze skimmer is waarschijnlijk nog actief op honderden websites.
Pipka - We kunnen onmogelijk doorgaan zonder de Pipka-exploit te noemen, waarschijnlijk de meest beruchte JavaScript-skimmer in de recente geschiedenis, die eind 2019 werd onthuld door het Visa Payment Fraud Disruption (PFD)-team. Waarom is het zo gevaarlijk? Deze onopvallende skimmer heeft het gevaarlijke vermogen om zichzelf uit de HTML-code te verwijderen nadat de uitvoering is voltooid. De nachtmerrie van een echte CISO.