VERDIEPINGSARTIKEL

Formjacking: zijn de gegevens uit webformulieren wel veilig?

In coronatijd is het webverkeer flink gestegen, dat is u vast niet ontgaan. Webshops draaien als een tierelier, en bedrijfssites worden drukker bezocht. Dat weten cybercriminelen helaas ook, en dus duikt inmiddels veelvuldig het verschijnsel ‘formjacking’ op. Hierbij worden invoervelden op een website misbruikt om persoonlijke of gevoelige gegevens te stelen.


7 juli 2021 5 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement Online


Formjacking is een lastig te herkennen vorm van cybercriminaliteit. Een websitebezoeker is nietsvermoedend zeer logisch ogende velden aan het invullen, zoals naam, adres, telefoonnummer, creditcardnummer bij een aankoop of log-ingegevens zoals gebruikersnaam en wachtwoord bij contact met het bedrijfsnetwerk.

Maar als de website is besmet met malware om die invoervelden te kunnen uitlezen, komen die belangrijke gegevens in verkeerde handen.

Sommige digidieven gebruiken ze zelf om (grote) aankopen te doen, anderen verhandelen de buitgemaakte gegevens voor veel geld. Dat maakt twee aspecten van dit verschijnsel belangrijk om nader te onderzoeken: is de website van uw organisatie veilig voor bezoekers en gebruikers? En hoe kunt u voorkomen dat u zelf uw gegevens prijsgeeft aan zware criminelen op websites die u bezoekt? Dat laatste staat in het kader hieronder beschreven.

In de voetsporen van Sherlock Holmes: ontdek de onbetrouwbare site

Er zijn diverse manieren en signalen die er op kunnen duiden dat een website of webwinkel al dan niet betrouwbaar is:

  • Websites, en vooral webwinkels, gebruiken als het kan keurmerken of vignetten van organisaties waarbij ze zijn aangesloten. Die garanderen de kwaliteit en controleren de betrouwbaarheid. Denk aan keurmerken als die van Webshop Trustmark of Thuiswinkel Waarborg. Dit zegt zeker iets, maar het is nog steeds geen garantie.
  • Onderzoek de webshop of site nader, door bijvoorbeeld te googelen naar ervaringen van andere bezoekers. Soms zijn malafide sites slechts enkele dagen in de lucht, en snel weer verdwenen.
  • U zou nog een extra check kunnen doen bij de Kamer van Koophandel (Kvk), of op fraudehelpdesk.nl.
  • Zijn de vermelde voorwaarden, prijzen en bijkomende kosten redelijk, of in ieder geval vergelijkbaar met andere digitale en analoge aanbieders?
  • Als aanbiedingen wel érg goedkoop zijn, kan dat verdacht zijn. Als iets te mooi is om waar te zijn, is het meestal ook gewoon... niet waar.
  • Staan er ergens op de site contactgegevens vermeld? Controleer die gegevens dan op bestaan en betrouwbaarheid. Zo kunt u ook daadwerkelijk contact opnemen met de eigenaar van de webwinkel of site als er iets misgaat.
  • Hoe zit het met de betaalmogelijkheden die u ter beschikking worden gesteld? Staat er ook een optie tussen om achteraf te betalen (als het product of de dienst al geleverd is), of met behulp van een creditcard? In dat laatste geval heeft u namelijk aankoopbescherming.
Krakkemikkig
Zet ook uw talenknobbel en oog voor detail in bij de speurtocht. Is de webshop of website in krakkemikkig Nederlands opgesteld, of treft u er spel-, taal of vertaalfouten aan? Wees dan dubbel alert. De kans dat u met een dubieuze site te maken heeft uit ‘Joost mag weten waar’, is dan niet ondenkbaar.

Een betrouwbare indruk wekken

U wilt met uw organisatie vanzelfsprekend een betrouwbare indruk wekken. Plus natuurlijk voorkomen dat de gegevens van bezoekers of gebruikers van uw website in verkeerde handen vallen voor misbruik, fraude of andere ellende.

Dat betekent dat uw organisatie ervoor moet zorgen dat de invoervelden op uw webpagina’s niet met kwaadaardige code zijn geïnjecteerd door cybercriminelen. Daartegen kunt u zich op diverse manieren beveiligen.

Kwaadaardige scripts

De werkwijze van de cyberboeven om gegevens in formulieren te stelen omvat onder andere het injecteren van de webpagina met kwaadaardige scripts, meestal in JavaScript.

De essentie van zo’n script is dat de persoonlijke, cruciale en/of betalingsgegevens op het moment dat de invuller op de knop [Verzenden] drukt, niet alleen naar de webeigenaar of -winkelier, maar als kopie ook naar de kapers worden gestuurd.

Onbekende scripts uitfilteren

Vaak betreft dit flinke scripts, dus meer dan even een tussengevoegd coderegeltje. Een scriptblocker (zoals ScriptSafe voor Google Chrome en Opera, NoScript voor Firefox of JSBlocker voor Safari) kan ongeautoriseerde injectie met malwarecode voorkomen, maar dan is het formulier meestal niet meer in te vullen.

Wél is te zien welke scripts de pagina wil laden. Er is enige ervaring voor nodig, maar op die manier kunt u er wel onbekende scripts uitfilteren.

Netwerk volledig en zorgvuldig beveiligen

Heeft u uw bedrijfswebsite, webapplicaties of (vooral in webshops belangrijke) onderdelen zoals winkelwagentjes of betaalsystemen laten ontwikkelen door een externe partij? Dat kan ook een oorzaak of bron zijn voor injectie-aanvallen.

Vooral als die derde partij zich in het buitenland bevindt, waar men het niet of minder nauw neemt met de veiligheid. Controleer daarom vooraf, bij oplevering en beheer- en onderhoudswerkzaamheden door een ingehuurde organisatie altijd de beveiligingsmaatregelen. Dat is natuurlijk niet alléén om formjacking te voorkomen.

Zorg ervoor dat het netwerk waarbinnen, of vanwaaruit, de webpagina’s van uw organisatie werken, volledig en zorgvuldig beveiligd is. Alle software moet vanzelfsprekend van de laatste beveiligingsupdates zijn voorzien.

Alle software moet van de laatste beveiligingsupdates zijn voorzien

Voer ook regelmatig scans uit van wat er in het netwerk gebeurt. Zo kunt u bijvoorbeeld regelmatig monitoren of er codeverandering plaatsvindt (zowel in eigen ontwikkelde als in elders gehoste software), of er nieuwe of aangepaste (beveiligings)certificaten opduiken, en of er links zijn naar onbekende, onverwachte of onbeveiligde websites.

Specialisten inzetten

Nog technischer middelen inzetten om formjackers af te stoppen, kan natuurlijk ook, maar dat is meestal voer voor specialisten. Denk bijvoorbeeld aan de inzet van versleuteling van het internetverkeer, authenticatie met twee of meer factoren, speciale servertools of een beveiligingsbeleid met betrekking tot de inhoud of methodes op de webpagina’s.

Veel organisaties nemen de kwetsbaarheden in het webverkeer, waardoor formjacking kan plaatsvinden, inmiddels heel serieus. Ze hebben de datadieven dan ook in het rijtje geschaard van de hackers en de ransomwareverspreiders.

Daarom doen zij ook regelmatig een beroep op een bedrijf of zelfstandige IT-specialist om met goede bedoelingen te proberen in te breken in de webpagina’s en -formulieren waar gevoelige gegevens moeten worden ingevoerd.

Hack opzetten met goede intenties

Men noemt deze computerbeveiligingsspecialisten ook wel ‘white hat hackers’ of, de meer gangbare naam, ‘ethische hackers’. In tegenstelling tot hackers ‘met een zwarte hoed’ zetten zij een hack op met goede intenties, namelijk om de beveiliging te testen en waar mogelijk te verbeteren.

Dat zou wel eens een interessante optie kunnen zijn als u het vermoeden heeft dat er gevoelige gegevens via de invulformulieren van uw webpagina worden ontvreemd.