GlobalSign Blog

05 sep. 2019

Is het tijd om de kaartbetalingsprocessen van uw bedrijf te controleren?

Begin september kondigde British Airways aan dat het bedrijf het slachtoffer was geworden van een enorm datalek. Hun website en mobiele app werden aangetast en de persoonlijke en financiële gegevens van ongeveer 380.000 klanten werden gestolen. Verontrustend genoeg werd Ticketmaster eerder dit jaar het slachtoffer van een gelijkaardige aanval. Naar verluidt waren beide aanvallen het werk van Magecart, een hackinggroep die berucht is voor het stelen van kaartgegevens van onbeveiligde betalingsmethoden op websites.

Als zelfs grote bedrijven zoals BA en Ticketmaster moeite hebben om hun systemen voor het verwerken van creditcards te beveiligen, betekent dat dan dat elk bedrijf gevaar loopt? Dat is niet noodzakelijk het geval, maar het maakt wel duidelijk dat bedrijven de beveiliging van hun kaartbetalingsprocessen heel ernstig zouden moeten nemen. In dit artikel leest u wat we kunnen leren van deze aanvallen.

Wat betekenen deze datalekken?

Deze datalekken zijn een indicatie van een gangbare manier waarop hackers de kaartbetalingsprocessen van bedrijven proberen aan te tasten, een techniek gekend als cross-site scripting (XXS). XXS-aanvallen omvatten het scripten van schadelijke opdrachten die bedoeld zijn om dynamische content op websites te misbruiken. Bij de aanvallen op Ticketmaster en BA vermoedt men dat de hackers de code van externe services die gebruikt werden op de websites van beide bedrijven hebben gewijzigd om de kaartbetalingen van klanten te onderscheppen tijdens de verwerking.

Naar verluidt wordt het script dat werd gebruikt bij de aanvallen op Ticketmaster en BA nu online verspreid via geïnfecteerde applicaties, waaronder code die werd verspreid door Feedify, een service voor pushberichten. Omdat bij sommige soorten XXS-aanvallen slechts kleine wijzigingen in de code worden aangebracht, zijn deze heel moeilijk te detecteren.

Loopt de naleving op het vlak van gegevensbeveiliging gevaar?

Deze lekken van kaartgegevens zijn op zich al behoorlijk zorgwekkend, maar ze vallen ook samen met een andere verontrustende trend; het aantal bedrijven dat volledig voldoet aan de Payment Card Industry Data Security Standard daalde in 2017 voor het eerst in zes jaar. Dat betekent dat minder bedrijven passende controles en procedures voorzien om de beveiliging bij de verwerking van betaalkaarten te garanderen.

Dat kan te wijten zijn aan het feit dat sommige bedrijven ervan uitgaan dat hun werk gedaan is zodra ze conformiteit met de PCI DSS hebben bereikt. Deze conformiteit handhaven is een proces dat blijft evolueren en bedrijven moeten up-to-date blijven. Cybercriminelen verfijnen hun tactieken en technieken steeds verder en organisaties moeten hun verdedigingssystemen hieraan aanpassen.

Nu is het tijd voor conformiteit

Dit soort conformiteit omvat meer dan een bepaald certificeringslogo op uw website zetten – het is van cruciaal belang voor het blijvende succes van uw bedrijf. Omgaan met de gevolgen van aanvallen betekent betalen om het probleem op te lossen en geconfronteerd worden met mogelijke reputatieschade. Als u niet voldoet aan deze regels kan uw bedrijf bovendien hoge boetes oplopen.

Wanneer organisaties niet voldoen aan de PCI DSS kunnen ze hogere transactiekosten betalen en kunnen in sommige gevallen hun bankdiensten worden opgezegd. Het niet-naleven van de Algemene verordening gegevensbescherming (General Data Protection Regulation - GDPR) kan zelfs nog zwaardere gevolgen met zich meebrengen, met boetes van meer dan 20 miljoen euro of 4 percent van de wereldwijde omzet (afhankelijk van welk bedrag het hoogst is).

Het is nog nooit zo belangrijk geweest om cyberbeveiliging serieus te nemen en ervoor te zorgen dat u over de beveiligingscontroles en -procedures beschikt om niet alleen uw bedrijf te beschermen, maar er ook ervoor te zorgen dat het aan de regels voldoet.

Het belang van het testen van webapplicaties

Penetratietesten zijn een belangrijke stap om de beveiliging van uw bedrijf te evalueren en bieden bescherming tegen het soort aanvallen waarvan Ticketmaster en BA het slachtoffer werden. Het testen van webapplicaties is een soort penetratietest die specifiek bedoeld is om kwetsbaarheden in uw webapplicaties te identificeren – waaronder vatbaarheid voor XXS-aanvallen en andere soorten aanvallen met code-injecties.

Penetratietesten van webapplicaties nemen meestal slechts enkele dagen in beslag en kunnen buiten de kantooruren gebeuren om de dagelijkse activiteiten zo weinig mogelijk te verstoren. U werkt best samen met een specialist in cyberbeveiliging die voortdurend onafhankelijke evaluaties kan uitvoeren om beveiligingsproblemen te identificeren en op te lossen.

Gezien het huidige beveiligingslandschap is het cruciaal dat bedrijven beveiliging en conformiteit heel ernstig nemen. Als ze dat niet doen, kunnen de kosten behoorlijk hoog oplopen en kan dat ook verregaande gevolgen hebben voor de levensvatbaarheid van het bedrijf op lange termijn. Het team bij GlobalSign helpt bedrijven en grote ondernemingen graag hierbij met onze uitgebreide portfolio aan identiteits- en beveiligingsoplossingen.

Meer informatie over het huidige beveiligingslandschap en hoe GlobalSign u kan helpen, vindt u hier:

https://www.globalsign.com/nl-nl/blog/de-10-belangrijkste-redenen-om-voor-globalsign-te-kiezen/

https://www.globalsign.com/nl-nl/blog/tips-vermijden-online-shopping-fraude/

https://www.globalsign.com/nl-nl/blog/wat-is-social-engineering-het-spel-van-menselijk-vertrouwen/

https://www.globalsign.com/nl-nl/blog/cyberbeveiligingstools-en-diensten-van-belang-voor-bedrijven/

Over de auteur

Mike James is een onafhankelijke auteur, technische specialist en expert in cyberbeveiliging en woont in Brighton, UK. Zijn artikelen werden gepubliceerd in een groot aantal toonaangevende online en gedrukte magazines, en hij heeft artikelen geschreven over ethisch hacken, penetratietesten – en hoe deze technologieën het best kunnen worden geïmplementeerd in bedrijven van elke grootte en elk type. Wanneer hij zich niet met 'nerdy' dingen bezighoudt, schrijft Mike ook wel eens over recepten en trainingsschema's.

Opmerking: Dit blogartikel is geschreven door een gastcorrespondent met het doel een grotere verscheidenheid aan inhoud aan onze lezers aan te bieden. De meningen in dit artikel over de gastauteur zijn uitsluitend die van de correspondent en komen niet noodzakelijkerwijs overeen met die van GlobalSign

door Mike James

Share this Post

Zes cyberbeveiligingstools en -diensten die elk bedrijf nodig heeft

3 manieren om beveiligingsprocessen te verbeteren