Blog

De Segway cyberaanval uitgelegd

In januari 2022 werd de webwinkel van Segway getroffen door een web supply chain-aanval – ook wel een Magecart-aanval genoemd. Bij dit soort aanvallen wordt kwaadaardige JavaScript-code toegevoegd die aan de client-side wordt geladen, ook wel bekend als third-party scripts. Veel gangbare tools zijn third-party scripts, zoals analytics, captcha's en meer. Maar deze weg kan ook voor kwaadaardige doeleinden worden gebruikt, zoals hier het geval was. Bij deze aanval op Segway was hun winkel opgezet op Magento. De aanvallers richtten zich op kwetsbaarheden

Jul 25, 2024 • 3 min read

Simon Wijckmans Founder & CEO

In januari 2022 werd de webwinkel van Segway getroffen door een web supply chain-aanval – ook wel een Magecart-aanval genoemd. Bij dit soort aanvallen wordt kwaadaardige JavaScript-code toegevoegd die aan de client-side wordt geladen, ook wel bekend als third-party scripts.

Veel gangbare tools zijn third-party scripts, zoals analytics, captcha's en meer. Maar deze weg kan ook voor kwaadaardige doeleinden worden gebruikt, zoals hier het geval was.

Bij deze aanval op Segway was hun winkel opgezet op Magento. De aanvallers richtten zich op kwetsbaarheden in het CMS zelf of in een van de plugins die op de Segway-site waren geïnstalleerd. Na het binnendringen voegden ze JavaScript toe dat eruitzag als het copyright van de site, maar in werkelijkheid werd gebruikt om een externe favicon te laden.

In dat favicon-bestand was een kwaadaardig domein 'booctstrap[.]com' verborgen. Zoals te zien is op deze afbeelding van Malwarebytes, die als eerste over deze aanval berichtte:

Dat domein laadde de kwaadaardige third-party JavaScript-code die erop gericht was creditcardgegevens van gebruikers te onderscheppen.

Zoals ook recentelijk te zien was bij de Polyfill-aanval van 2024.

Hoe je dit niet moet aanpakken

Threat feeds zijn nog steeds de meest gebruikte oplossing voor dit probleem, maar wij stellen dat dit niet de voorkeursmethode is. Het fundamentele probleem is dat ze niet weten wat ze niet weten. Aanvallers registreren een nieuw domein en zonder ook maar één regel code te herschrijven is de aanval weer actief. Soms dagenlang, soms wekenlang, totdat het opnieuw wordt opgemerkt en de threat feeds hun registries bijwerken.

cside is ontworpen om deze web supply chain-aanvallen te stoppen voordat ze plaatsvinden.

Door third-party scripts via een proxy te laten lopen en de volledige code-payload te analyseren voordat deze wordt geladen, detecteren we kwaadaardige code zoals in dit voorbeeld. We blokkeren deze, zodat gebruikers er geen last van hebben, en waarschuwen de website-eigenaar over de mogelijke aanval.

Daarnaast slaan we de code van de scripts op, zodat de website-eigenaar deze achteraf kan bekijken en het onderliggende probleem kan oplossen.

Er wordt te weinig aandacht besteed aan deze client-side aanvallen. Als andere beveiligingsmaatregelen falen, zoals in het geval van Segway, had deze aanval toch kunnen worden opgespoord. Door nauwkeurig te monitoren wat er in de browser van de gebruiker gebeurt, had de data-exfiltratie gezien en voorkomen moeten worden.

Regelgeving

Zoals in dit geval te zien is, is e-commerce vaak een doelwit. En de regelgeving haalt de praktijk in: met PCI DSS 4.0 is het monitoren van third-party scripts op betaalpagina's nu verplicht (vanaf maart 2025). Hoewel we dit toejuichen, raden we u aan dit op alle pagina's van uw volledige website te doen. In april 2024 legden we uitgebreid uit waarom het niet doen hiervan uw site nog steeds aanzienlijk risico oplevert.

Naast andere problemen die in dat artikel worden beschreven, kunnen kwaadwillenden misbruik maken van gecompromitteerde scripts op uw site om gebruikerssessies te kapen, gebruikers te imiteren en ongeautoriseerde acties uit te voeren. Hiermee kunnen ze mogelijk tweefactorauthenticatie omzeilen en zo alsnog uw betaalportaalbeveiliging omzeilen.

U kunt cside gebruiken om scripts op alle pagina's te monitoren en zo compliant te zijn voor dat onderdeel van PCI DSS 4.0. En u kunt uw site beschermen tegen dit soort aanvallen met cside.

Ga binnen enkele minuten gratis aan de slag.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.