'Ticketmaster slachtoffer van gewiekste online bende'
Digitale skimmers

'Ticketmaster slachtoffer van gewiekste online bende'

10-07-2018 13:04 Laatste update: 16:05

RTL Z

Een skimbende heeft onderdelen van de site van Ticketmaster overgenomen om zo creditcardgegevens te stelen. De bende zette deze manier van hacken in om bij meer dan 800 andere websites in te breken.

Dat blijkt uit onderzoek van het Amerikaanse cybersecuritybedrijf RiskIQ. De bende wordt 'Magecart' genoemd en wordt al sinds 2015 door RiskIQ in de gaten gehouden.

"Ticketmaster kreeg alle aandacht, maar het probleem van Magecart gaat veel verder dan alleen Ticketmaster", zegt de Nederlandse onderzoeker Yonathan Klijnsma van RiskIQ. De criminelen achter Magecart slaan vaker toe en zijn steeds succesvoller, waarschuwt hij. 

Skimmen

Fysieke skimmers verstoppen hun apparatuur in pinautomaten, digitale skimmers werken veelal door een website over te nemen en een script te injecteren. Dat script houdt bij wat voor creditcardgegevens mensen invoeren op een website waar je iets kunt bestellen. 

Bij Ticketmaster werden zowel een chatbot als marketingtool door de online skimbende overgenomen. De criminelen zijn volgens RiskIQ bij deze partijen hoogstwaarschijnlijk doorgedrongen tot diep in hun systemen. In het geval van chatbotmaker Ibenta is mogelijk zelfs het volledige bedrijf gehackt.

Nederland

Het malafide script dat creditcardgegevens stal is door RiskIQ ook gevonden op andere websites van Ticketmaster, waaronder de Ierse, Turkse, Nieuw-Zeelandse en Australische sites. RiskIQ onderzoekt momenteel of er nog meer websites van Ticketmaster zijn geïnfecteerd. 

Eerder bleek al dat de impact voor Nederland hoogstwaarschijnlijk klein is: concertkaartjes worden hier minder vaak met creditcards betaald. Volgens Ticketmaster is er geen aanwijzing dat ook gegevens van Nederlandse klanten zijn gestolen. Uit voorzorg worden toch alle Nederlandse klanten die tussen september 2017 en 23 juni 2018 een ticket hebben gekocht gemaild.

Hacks

Magecart heeft naast Ticketmaster nog meer dan 800 andere slachtoffers gemaakt. RiskIQ noemt geen namen, maar stelt dat er bijna honderd grote bedrijven tussen zitten: voornamelijk webshops van bekende merken. Klanten die hun betaalgegevens bij deze webshops invoeren lopen het risico op creditcardfraude. 

De strategie van de criminelen verandert ook, stelt Kleinsma: in plaats van websites overnemen vallen ze nu software van derden aan die op veel websites wordt gebruikt. Momenteel is PushAssist, een dienst die websites pushberichten laat sturen, door Magecart overgenomen. Hun technologie wordt op meer dan 10.000 websites gebruikt. 

Zo bescherm je jezelf

Dat is heel lastig, want je weet meestal niet of een website door online skimmers is overgenomen. Om dit soort aanvallen te blokkeren kun je de browserplugin NoScript voor Firefox of ScriptSafe voor Chrome gebruiken. De plugins kunnen ook websites kapotmaken: in veel gevallen zijn scrips noodzakelijk voor de werking van een website.