Er din webshop i fare?
Kort efter nytår tvang et alvorligt hackerangreb mode- og livsstilsbutikken Bahne til at sætte sin webshop ud af drift på ubestemt tid. Målet for angrebet var kundernes kreditkortoplysninger, og det lykkedes hackerne at opsnappe oplysninger fra næsten 500 kunder, inden Bahne opdagede den ulovlige indtrængen og lukkede webshoppen.
Kun godt en måned tidligere var bahne.dk blevet udsat for et lignende angreb, hvor mere end 3.300 kunder fik stjålet deres kortoplysninger. Dengang åbnede shoppen igen efter 3 timer, idet man troede, at problemet var løst. Man valgte dog at skrue op for overvågningen, hvilket sandsynligvis også har været medvirkende til, at det andet angreb blev opdaget væsentligt hurtigere.
Har Bahne sovet i timen?
Man kan foranlediges til at tro, at Bahne har sløset med sikkerheden, men det ser ikke umiddelbart sådan ud. Blandt andet er de gode til at holde deres shopsystem opdateret.
Problemet ligger snarere i, at IT-kriminelle bliver dygtigere og dygtigere – både til at finde huller i IT-systemer og til at skjule deres indtrængen i systemerne. Opgaven med at holde dem fra livet vokser derfor hele tiden i både størrelse og kompleksitet.
Kan det ske igen?
Ifølge Version2.dk satte Bahne to IT-sikkerhedsfirmaer til at undersøge sagen efter det andet angreb. Det ene af sikkerhedsfirmaerne forsøgte at blive klog på sikkerhedsbruddet ved at gøre hackerne kunsten efter, men forgæves.
Man har blot måttet konstatere, at hackere har fundet et sikkerhedshul i Bahnes Magento-installation og brugt det til at tappe kundernes kreditkortoplysninger.
Det efterlader Bahne med en uvished om, hvorvidt webshoppen er godt nok beskyttet mod fremtidige angreb.
– Jeg er med på, at der sker mange af de her ting rundt om i verden, og jeg er med på, at det kan ske én gang. Det bør ikke ske, men det kan åbenbart ske. Men når det sker anden gang, så bliver vi nødt til at tage alle forholdsregler, der overhovedet kan tages, siger Bahnes administrerende direktør, Benjamin Røpke til Version 2.
Set fra hans stol er der kun én rigtig ting at gøre:
– For at være helt sikker på, at der ikke er noget som helst, vi kan have overset, så rykker vi til en ny platform, siger han.
Mere specifikt flytter bahne.dk over på en frisk Magento-installation. Ifølge Benjamin Røpke forventer Bahne at lancere den nye webshop omkring 1. marts.
Hackernes veje ind i din backend
Den hollandske sikkerhedsforsker Willem de Groot har specialiseret sig i at detektere og forebygge skimming-angreb mod Magento-webshops. I løbet af de seneste 4 år har han ved hjælp af sin scanningssoftware fundet og dokumenteret sikkerhedsbrister i mere end 40.000 shops.
Ifølge Willem de Groot har de IT-kriminelles metoder ændret sig væsentligt i løbet af ganske få år.
For omkring 4 år siden benyttede mange IT-kriminelle sig af den såkaldte ”shoplift bug” – en sårbarhed i den daværende version af Magento-platformen. Ved hjælp af et script kunne en hacker nedgradere en webshop fra https til http for derefter at oprette en ny bruger med administratorrettigheder ved hjælp af endnu et script. Som administrator havde hackeren nu adgang til at tilføje, ændre eller fjerne produkter, ændre priser og meget andet.
I 2016 var de fleste Magento-shops blevet opdateret, og det var ikke længere muligt at tiltvinge sig adgang ad den vej. Derfor gik hackerne i høj grad over til ”brute force”-angreb rettet mod svage administrator-passwords. Kort fortalt går et ”brute force”-angreb ud på at forsøge at logge ind i et system med de mest almindelige kombinationer af brugernavne og passwords, hvilket faktisk var muligt i en del shops.
Efterhånden som flere og flere forstod vigtigheden af et ordentligt password, begyndte hackerne at kigge sig omkring efter nye metoder, og i efteråret 2018 dukkede en metode op:
I stedet for at gå direkte på Magento Core (selve platformen), kastede hackerne deres kærlighed på Magento-plugins med såkaldte ”zero-day”-sårbarheder.
Begrebet ”zero-day” dækker over sikkerhedshuller, som bliver opdaget og udnyttet af IT-kriminelle, inden udvikleren af det pågældende plugin bliver bekendt med sårbarheden, og navnet skyldes, at der går nul dage fra opdagelsen af sårbarheden til det første angreb.
”Zero-day”-sårbarheder findes ikke kun i Magento, men udgør også en potentiel risiko i andre shopsystemer.
LÆS OGSÅ: Sådan penetrerer hackerne din webshop
Sådan stjæler hackerne dine kunders kreditkortoplysninger
Efter at have skaffet sig adgang til en webshops backend kan en hacker lægge et såkaldt skimmer-script ind i systemet. Ifølge Willem de Groot fungerer de fleste skimmer-scripts på denne måde:
Når en kunde klikker sig videre til betalingsvinduet, sender skimmer-scriptet først kunden til et falsk betalingsvindue, som er magen til det rigtige. Her indtaster kunden sine kreditkortoplysninger, som hackeren så kopierer og gemmer til senere brug. Derefter sendes kunden til det rigtige betalingsvindue, hvor scriptet automatisk indsætter kreditkortoplysningerne, så kunden kan gennemføre betalingen.
– I Bahnes tilfælde har hackerne gjort sig meget umage med at efterligne Bahnes normale betalingsvindue, fortæller Willem de Groot i en mail til Ehandel.dk.
For kunden ser alting altså ganske tilforladeligt ud. Webshoppen har heller ingen grund til at fatte mistanke, da de jo modtager kundens betaling. De sender varerne afsted til kunden, og alle glade. Lige indtil kundens kreditkort pludselig bliver brugt af en anden end kunden selv.
Skimmer-hackere samler typisk store mængder af kreditkortoplysninger og sælger dem på ”the dark web”. Eftersom oplysningerne ikke altid bliver solgt (og brugt) med det samme, kan det være svært at opspore, hvor og hvornår de er blevet lækket, og der kan nemt gå flere uger – nogle gange endda måneder – før man finder frem til den angrebne webshop.
LÆS OGSÅ: Alvorligt sikkerhedshul i Magento giver adgang for kreditkorttyve
Svære at slippe af med
Siden oktober har Willem de Groot registreret flere tusind skimming-angreb via usikre Magento-plugins, og der kommer hele tiden flere til.
Bare et enkelt ”hullet” plugin kan være nok til at skabe en situation som den, Bahne har befundet sig i de seneste måneder.
Ved mange hackerangreb laver hackeren en eller flere såkaldte ”bagdøre”, dv. en skjult vej ind i systemet, som kan benyttes på et senere tidspunkt. Selv om man afværger et angreb, er det altså ikke sikkert, at man er sluppet ordentligt af med problemet.
I en mail til Ehandel.dk fortæller Willem de Groot, at hver femte af de webshops, der har været udsat for skimming-angreb, bliver angrebet igen på et senere tidspunkt, fordi man ikke fik identificeret og fjernet alle bagdøre.
Få tjekket din Magento-webshop for ubudne gæster
Din webshop kan altså sagtens være blevet hacket, uden at du har den fjerneste anelse om det. Ville det ikke være meget rart at vide, om der er ubudne skimmer-gæster i din Magento-shop?
Faktisk kan du ret nemt få svar på spørgsmålet. Hvis du skriver til Willem de Groot, kan han fortælle dig, om hans scanningssoftware har registreret skimmer-kode på din Magento-løsning inden for de seneste 12 måneder. Det koster dig ikke en rød reje.
Hvis din webshop er blevet hacket
Hvis din webshop har været udsat for et skimming-angreb, så er det uklogt at tage chancer. I værste fald kan det blive fatalt for din forretning.
For at være på den sikre side bør man overlade sagen til en IT-sikkerhedsekspert, så man er sikker på at få lukket alle bagdøre til systemet.
Willem de Groot er ekspert i at lukke bagdøre, og der er tempo på hans arbejdsproces. Inden for et døgn kan han smide de ubudne gæster på porten og smække døren efter dem.
Et kapløb mellem sikkerhedseksperter og hackere
At undgå svindel er desværre ikke nogen nem opgave. Hver gang man lave et nyt sikkerhedstiltag, forsøger opfindsomme hackere at finde nye metoder til at stjæle eller manipulere med data.
Da man i mange webshops adskilte betalingsprocessen fra webshoppen, troede man sig en overgang sikker, men siden er det altså lykkedes hackere at omgå denne sikkerhedsforanstaltning.
– Om betalingen foregår i et indlejret vindue (iframe) eller der åbnes et separat betalingsvindue, har ingen betydning. Hvis hackeren har kontrol over systemet, kan han/hun indsætte et falsk betalingsvindue, skriver Willem de Groot.
Når hackerne først er inde i systemet, er det desværre ikke muligt art sikre sig 100 % mod et skimming-angreb af ovennævnte slags, men det er trods alt muligt at mindske risikoen. Willem de Groot anbefaler, at man implementerer SRI (SubResource Integrity) og CSP (Content Security Policy), som på hver sin måde kan begrænse risikoen for, at der afvikles ondsindet kode.
5 gode råd til dig en mere sikker webshop
- Hold altid både dit shopsystem og samtlige plugins opdaterede.
- Hvis dit password er ”123456”, så skynd dig at gøre noget ved det. Hoveddøren til Fort Knox er jo heller ikke lavet af pap, vel?
- Tænk dig godt om, før du installerer et nyt plugin. Undersøg, om udvikleren af det pågældende plugin opdaterer det jævnligt. Hvis ikke, kan der være grund til bekymring.
- Hvis din Webshop er lavet i Magento:
- Tjek Willem de Groots Magento module Blacklist for at se, om der er huller i de plugins, du har installeret.
- Og skriv så den mail til Willem de Groot, så du kan tage affære, hvis der er ugler i mosen.