'Ticketmaster-lek is werk van skimmergroep die veel meer slachtoffers maakte'

Volgens beveiligingsbedrijf RiskIQ is het datalek waar Ticketmaster onlangs voor waarschuwde het werk van een skimmergroep die het de naam Magecart heeft gegeven. Die zou zich richten op softwareleveranciers van e-commercesites en zou tot nu toe 800 slachtoffers hebben gemaakt.

Het bedrijf claimt dat het de Magecart-groep sinds 2015 volgt en dat de aanvallen van de groep de laatste tijd vaker voorkomen. Magecart zou niet alleen achter het Ticketmaster-incident zitten, maar zou tot nu toe in totaal 800 sites tot zijn doelwitten kunnen rekenen. In eerste instantie zou de groep websites zelf hebben aangevallen, maar inmiddels richten ze zich op softwareleveranciers van die sites, zoals bij Ticketmaster. Het bleek dat er gegevens bij de dienst waren gestolen via een JavaScript-module van de leverancier Inbenta. De groep zou zich bijvoorbeeld ook op partijen als analyticsdiensten PushAssist en Annex Cloud, en cms-ontwikkelaar Clarity Connect richten.

RiskIQ heeft het Ticketmaster-incident nader onderzocht en komt tot de conclusie dat Magecart moet zijn ingebroken bij Inbenta, dat zich richt op de ontwikkeling van chatbots. Inbenta zei in eerste instantie dat zijn JavaScript-code op een betaalpagina van Ticketmaster stond, terwijl dat niet de bedoeling was. Het beveiligingsbedrijf onderbouwt zijn conclusie door te stellen dat de inhoud van het inbenta.js-bestand op de Ticketmaster-site in juni volledig is aangepast waardoor tijdelijk de functionaliteit verloren ging.

Het schrijft deze actie toe aan Magecart en schrijft dat de groep hiermee zijn eigen skimmer-code aan het script toevoegde om op de betaalpagina ingevulde gegevens buit te maken. Doordat verschillende scripts soms volledig zijn aangepast, gaat RiskIQ ervan uit dat de groep verregaande toegang tot Inbenta moet hebben gehad. Uit zijn onderzoek zou bovendien blijken dat de omvang van het Ticketmaster-incident groter is dan het bedrijf deed voorkomen. Zo vond het de skimmercode ook op de Ierse, Turkse, Australische en Nieuw-Zeelandse sites van Ticketmaster.

RiskIQ-onderzoekers hebben de code van de skimmer geanalyseerd en schrijven dat het om vrij simpele software gaat: "De skimmer is vrij simpel - elke knop en elk invulveld op een pagina is hooked waardoor de skimmer de naam en de waarde van de velden combineert en doorstuurt naar de Magecart-server zodra de bezoeker op verzenden drukt." De groep zou voor deze servers domeinnamen gebruiken die lijken op JavaScript-bibliotheken of analyticsdiensten. In het huidige geval was de url webfotce.com, wat moet lijken op 'webforce'. Het valse domein is sinds december 2016 in de lucht.

Inbenta zou ten slotte niet de enige Ticketmaster-leverancier zijn waarop Magecart het heeft gemunt. Zo zou de groep zich ook op e-commercedienst SociaPlus richten. RiskIQ meldt dat het eind 2017 en begin 2018 een Magecart-skimmer vond die was toegevoegd aan een script op verschillende Ticketmaster-sites.

Ticketmaster waarschuwde eind juni dat er een datalek had plaatsgevonden waarbij aanvallers namen, adressen, e-mailadressen, telefoonnummers, betalingsgegevens en logins van de Ticketmaster-accounts in handen hadden gekregen van ongeveer vijf procent van zijn klanten. Vervolgens claimde een Britse bank dat het Ticketmaster al eerder voor een mogelijk datalek had gewaarschuwd.

Reacties (45)

Sjnieboon 10 juli 2018 14:39

Er zijn sinds de publicatie van het Ticketmaster lek ook een aantal phishingmails in omloop die handig gebruik van de situatie maken. Ik heb er inmiddels twee in m'n (spam)inbox zitten. De tekst en het gebruik van de logo's, etc. maken het op het eerste gezicht best geloofwaardig:

https://imgur.com/a/mGcKr9K
https://imgur.com/a/0jR0PVk

Extra toegevoegd, de URL's waarnaar ze linken:
- https://accauth - internationalcheck . com/
- http://verify . tickmasters . cz/

Afzenders:
- noreply@tickmast.nl
- noreply@ticketmaster.eu

[Reactie gewijzigd door Sjnieboon op 24 juli 2024 21:38]

Tivoler @Sjnieboon • 10 juli 2018 14:48

We hebben er meer aan als je de source erbij plakt, dit had ook wél een juiste mail kunnen zijn en een falend spamfilter door allerlei andere mails waardoor deze ineens triggert.

McOrmick @Tivoler • 10 juli 2018 14:49

Voor die tweede hoeft dat niet; heb je dat IP adres gezien

edit:
@Tivoler ; Gaat me meer om de '726' in IPv4 adres 82.239.726.253 ... Dat is altijd incorrect, en had dus geen echte e-mail kunnen zijn.

[Reactie gewijzigd door McOrmick op 24 juli 2024 21:38]

MrMonkE @McOrmick • 10 juli 2018 15:19

Das gewoon een reeks in IPv4¾ toch?
Lijkt wel een hollywood email!
In films zijn de IP's ook meestal uit deze merkwaardige reeks

t link @MrMonkE • 10 juli 2018 19:27

Volgens mij doen ze dit express om te voorkomen dat mensen het ddossen oid.

MrMonkE @t link • 11 juli 2018 01:00

Ja, net als met 555 telefoon nummers.

McOrmick @kodak • 10 juli 2018 16:28

Zoals @Sjnieboon aangeeft: https://imgur.com/a/0jR0PVk (zoals ik aangeef; 2e link)

[Reactie gewijzigd door McOrmick op 24 juli 2024 21:38]

Basszje @Sjnieboon • 10 juli 2018 14:50

Je zou verwachten dat die lui toch ooit moeten bedenken dat een mail die niet bolstaat van de taalfouten een stuk meer vertrouwen werkt

batjes @Basszje • 10 juli 2018 14:58

De taalfouten zitten expres in dit soort phisingmailtjes.

Fornoo @batjes • 10 juli 2018 15:02

Dat moet je even toelichten aub.

Want ik zou eerder in een phishing trappen zonder spelfouten dan met.

dnrb @Fornoo • 10 juli 2018 16:12

Alleen mensen die niet kritisch zijn en impulsief, zijn de doelgroep voor phishing.
Deze mensen zijn makkelijker te misleiden. Door de spelfouten haal je alerte mensen er al uit voordat je meer tijd/bandbreedte/… aan hen spendeerd

Fornoo @dnrb • 10 juli 2018 18:34

Hoe kost het een spammer dan meer bandbreedte?

Zijn ze bang dat de 'slimme' 'klanten' dan massaal gaan terugmailen met de vraag waarvoor de rekening is? Dit zonder op links te klikken en logingegevens te geven?

dnrb @Fornoo • 11 juli 2018 17:51

Er wordt bijvoorbeeld naar een website verwezen waar je dan iets moet downloaden/installeren
Typisch voorbeeld was de track and trace scam waarbij je in een email een bericht kreg over een pakketje dat onderweg is. En naar een PostNl look alike website werd gestuurd.

Om je pakketje en de gegevens te kunnen zien moest je de "nieuwe" track and trace app installeren.
Dit was een crypto ransomware applaicatie.

Epicbewbs @Fornoo • 10 juli 2018 15:10

Ik denk dat dit meer van toepassing is bij die scams dat je X aantal euro moet opsturen maar here goes.

Het idee is dat ze de "slimme" mensen er al tussen uit halen omdat die niet antwoorden / verder klikken.
Zo houden ze enkel de "domme" mensen over, die geen 2x gaan nadenken. (en dus geen tijd verdoen)

jeroenemeloen @Fornoo • 10 juli 2018 15:17

Ik had ooit gehoord dat ze vooral mensen die minder handig zijn met computers of minder "intelligent" zijn er uit proberen te vissen. Als iemand al over de spelfouten heen leest zal het makkelijker zijn ze bang te maken en geld af te troggelen. Of op een link te laten klikken. Ik denk dat Batjes dit bedoelt.

batjes @Fornoo • 10 juli 2018 15:07

Mensen die spelfouten herkennen zijn te slim voor de doelgroep waar vissers naar opzoek zijn.

DragonChaser @batjes • 10 juli 2018 15:14

Ynst2003 @Fornoo • 11 juli 2018 10:36

https://www.telegraph.co....berately-implausible.html
en
http://research.microsoft.com/pubs/167719/WhyFromNigeria.pdf

mrfreeze12345 @Basszje • 10 juli 2018 18:08

Ach, als ik sommige officiële mails zie ... Spelfouten zijn echt niet voorbehouden aan phishers

kodak

Datalek
Beveiliging en antivirus

@Sjnieboon • 10 juli 2018 15:06

Die eerste phishing mail heeft het echt over het lek.

Het andere mailtje bestaat al langer en is erg algemeen.

Waarschijnlijk hebben die oude mailtjes dus ook effect, als gebruikers die na het lek beschouwen als gerelateerd aan het lek.

En het is niet erg handig om links naar phishing sites hier zonder aanpassing te plaatsen!

[Reactie gewijzigd door kodak op 24 juli 2024 21:38]

Sjnieboon @kodak • 10 juli 2018 15:32

Als m'n bericht gelezen wordt zul je niet snel op de linkjes klikken. Maar voor de goede orde: aangepast

ard1998 @Sjnieboon • 10 juli 2018 15:06

Die tweede vind ik wel leuk, waarschuwen voor scam emails in een scam email

RGAT @Sjnieboon • 10 juli 2018 14:53

Tja die eerste weet nog niet zeker of ze het over ibenta of inbenta hebben, lekkere spelvout dus en de tweede 'ongebruikelijke activiteiten klik hier' is echt de roodste vlag die je maar kan krijgen met spam.
Ze zijn beter dan de gemiddelde Nigeriaanse prins scams maar wel zeer herkenbaar alsnog.

incaz @RGAT • 10 juli 2018 15:56

Het is misschien de 'roodste vlag' maar het is, helaas, ook ongeveer het niveau van de meeste legitieme mails over dit soort onderwerpen.

Dnomyar96 @incaz • 11 juli 2018 13:50

Inderdaad. Dat soort mails zijn best wel lastig te onderscheiden tussen scam en echt. Daarom kijk ik ook altijd eerst naar het mail adres als ik zo'n mail krijg. Maar iemand die dat niet doet trapt er denk ik toch best wel makkelijk in.

xxxneoxxx @Sjnieboon • 10 juli 2018 19:48

Gelukkig kan je met een beetje taalgevoel het eerste mailtje vrij snel als phishing herkennen. Beetje profi bedrijf gebruikt geen je/jij gemixed met u/uw in 1 zin. Tevens zit er een redelijke d/t fout in, maar dat laatste zal in alle eerlijkheid een hoop tweakers niet opvallen vrees ik.

Verder is het qua taalgebruik wel Nederlands, i.t.t het soort Sud Afrikaans wat je vroeger nogal eens tegen kwam.

Dnomyar96 @xxxneoxxx • 11 juli 2018 13:52

d/t fouten zijn echt geen teken dat het een scam is. Er zijn enorm veel nederlanders (ook bij professionele bedrijven) die dat gewoon niet goed beheersen. Dat jij en u is inderdaad wel een goed teken. Als je bij een bedrijf werkt, dan is het of altijd jij/je, of altijd u/uw. Dat haal je niet zo even door elkaar. En zulke mailtjes zullen waarschijnlijk daar toch wel goed op gecontroleerd worden voordat ze in het automatische systeem worden gezet.

Kain_niaK @Sjnieboon • 10 juli 2018 23:16

Ik vind wel grappig als phishers in hun eigen mails waarschuwen voor phishing.

maar ze kunnen wel een Nederlandstalig persoon gebruiken om het taalgebruik wat beter te maken.

Ge Someone 10 juli 2018 14:26

Ik moest van Ticketmaster Nederland wel mijn password resetten (en daarna wijzigen) omdat ik in de bewuste periode kaartjes gekocht heb. Maar volgens mij heb ik die met Ideal betaald, dus zullen de hackers, als ze mijn gegevens zouden hebben, die niet rechtstreeks kunnen misbruiken.

sympa @Ge Someone • 10 juli 2018 21:27

Niet rechtstreeks, maar misschien wel de volgende phishing heel gericht maken.

Een collega kreeg (jaren terug) papieren post van zijn hypotheekbank - dat ie een termijn niet betaald had. Helemaal compleet, alle gegevens correct, netjes op briefpapier. Hij dacht: kan niet, dat overkomt mij niet, en had inderdaad geen betaling gemist. Bij controle bleek dat de 'herinnering' een afwijkend telefoonnummer had - en natuurlijk een ander rekeningnummer dat dat van zijn echte bank.

Datalekken zijn dus echt wel riskant.

Torakk @sympa • 11 juli 2018 14:57

Dit dus. Wat dacht je van winkeleigenaren. man hoevaak je dan rekeningen krijgt die helemaal niet kloppen. En dit hoeft geen kleine bedrijfjes te betreffen. Ook bij grote bedrijven tuinen ze erin.
Tis vaak gewoon zo dat er een administratie afdeling is die stapels met rekeningen en brieven krijgen. Deze worden gewoon systematisch afgehandeld. Dan zit er bijvoorbeeld zo'n overtuigende brief bij zoals jij omschrijft en die wordt vaak gewoon betaald. oh zal wel kloppen.

Hoorde dit van een kennis (was winkeleigenaar). die regelde zelf de administratie. had alles perfect in orde. en die ontving rekeningen waarvan hij zeker wist dat het niet kon kloppen. Of van instanties waar hij geen enkele dienst van gebruikte. En dan komen ze natuurlijk niet met een rekening van 20 ruggen maar 250 euro ofzo. in ieder geval net niet genoeg om die drang op te laten borrelen om alles eens zorgvuldig na te trekken. Als hij alle rekeningen die niet klopten zou betalen zou hem dat duizenden euro's gaan kosten. en ze zijn volhardend he. gewoon aanmaningen sturen. maar bij grote bedrijven is de controle wat minder en wordt er regelmatig gewoon betaald.

[Reactie gewijzigd door Torakk op 24 juli 2024 21:38]

Dnomyar96 @sympa • 11 juli 2018 13:54

Inderdaad. Onderschat niet wat mensen met je gegevens kunnen. Hoe meer gegevens ze hebben, hoe geloofwaardiger ze het kunnen maken.

JJschr @Ge Someone • 10 juli 2018 15:39

Ik heb ook een dergelijke mail ontvangen van Ticketmaster Nederland. Ook alleen met iDeal betaald. Toch goed dat we altijd servicekosten hebben betaald bij onze tickets die je "een veilige opslag en levering van jouw gegevens en tickets verzekert"

Neko Koneko @JJschr • 10 juli 2018 16:17

Ik heb ook een dergelijke mail ontvangen van Ticketmaster Nederland. Ook alleen met iDeal betaald. Toch goed dat we altijd servicekosten hebben betaald bij onze tickets die je "een veilige opslag en levering van jouw gegevens en tickets verzekert"

Veiliger dan ze zelf wisten inderdaad, gegevens werden nog eens extra opgeslagen op de servers van MageCart

tweaknico @Neko Koneko • 10 juli 2018 16:42

on-line - off-site backup in de cloud heet dat tegenwoordig.

Adhati 10 juli 2018 15:08

Als ik het verhaal goed begrijp heeft Inbenta zijn zaken niet goed op orde en is het dus niet (helemaal) de schuld van Ticketmaster.

R4gnax

Datalek

@Adhati • 10 juli 2018 19:20

Als ik het verhaal goed begrijp heeft Inbenta zijn zaken niet goed op orde en is het dus niet (helemaal) de schuld van Ticketmaster.

Ticketmaster is in zoverre schuldig dat ze een derde partij toe hebben gelaten op pagina's waar persoonsgegevens en betaalverkeer verwerkt wordt; en daarnaast ook nog eens verzaakt hebben om scripts van die derde partij middels Subresource Integrity (SRI) te beveiligen tegen aanpassingen en injectie van kwaadaardige code.

kodak

Datalek
Beveiliging en antivirus

@Adhati • 10 juli 2018 15:50

Ik zou aan de hand van de gegevens niet snel concluderen dat een bedrijf wel, geen of gedeeltelijke schuld heeft omdat er iets op subdomeinen heeft plaatsgevonden. De gegevens die er staan geven vooral weer welke partijen er bij betrokken zijn, maar niet waar de verantwoordelijkheid ligt.

BarôZZa 10 juli 2018 14:07

Verwarrend om de groep Magecart te noemen aangezien het met e-commerce te maken heeft, dat lijkt namelijk te verwijzen naar een iets van een hack met betrekking tot de shopping carts in e-commerceplatform Magento Cart (Mage is de 'god' class in Magento).

Zoek naar 'Mage Cart' op Google en je krijgt ook links naar pagina's over de shopping carts binnen Magento.

Iva Wonderbush @BarôZZa • 10 juli 2018 14:17

Verwarrend voor Magento developers. Verder zal het niemand uitmaken.

[Reactie gewijzigd door Iva Wonderbush op 24 juli 2024 21:38]

gitaarwerk @Iva Wonderbush • 10 juli 2018 14:53

Mooie manier om het hidden in plain sight te doen.

kodak

Datalek
Beveiliging en antivirus

10 juli 2018 16:10

Currently, those scripts seem to be clean, but we do not know if either Ticketmaster or SociaPlus are aware of this breach or if they’ve had discourse with each other about it.

In het gunstigste geval heeft riskiq voor publicatie dan contact met die bedrijven opgenomen om ze te waarschuwen maar geen reactie ontvangen?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (45)

Sorteer op:

Weergave: