Branche - geschrieben von cp am Dienstag, Mai 26, 2020 15:12 - noch keine Kommentare
Online-Shopping: Warnung vor Card-Skimming
Kriminelle Gruppierungen kompomitieren E-Commerce-Websites mit neuen Techniken
[datensicherheit.de, 26.05.2020] Online-Shopping erlebt einen Boom während der Corona-Krise, da das virtuelle Einkaufen eine vermeintlich sichere Alternative bietet. Der Bitkom hat festgestellt, dass im Durschnitt 3 von 10 Verbrauchern sogar ihre Lebensmittel online bestellen. In einer weiteren Umfrage des Digitalverbands gaben 20 Prozent von 1.000 Befragten an, dass sie jetzt mehr im Internet bestellen als noch vor COVID-19. Um diese Entwicklungen wissen jedoch auch Cyberkriminelle und weiten ihre Aktivitäten zum Abschöpfen von Kreditkartendaten entsprechend aus.
Kriminelle Gruppierungen kompomitieren E-Commerce-Websites
Kriminelle Gruppierungen, die auf die Technik des Card-Skimmings setzen, kompromittieren dazu E-Commerce-Websites durch neue Angriffsmuster. Ziel der Angreifer ist es ihre Attacken möglichst lange unbemerkt ausüben zu können, indem sie den Skimmer-Code und damit einhergehenden Datenverkehr in vertrauenswürdigen Skripten verbergen. Dazu kommen derzeit verstärkt Skripts von Drittanbietern oder Content Delivery Networks (CDNs) zum Einsatz. In der Vergangenheit wurden unterschiedlichste E-Commerce-Seiten mit Hilfe von dem populären CDN Amazon CloudFront als Host für Skimmer-Codes kompromittiert.
Die Sicherheitsforscher des ThreatLabZ-Teams, ein Teil von Zscaler, verfolgen seit mehreren Monaten die Skimming-Aktivitäten am Point-of-Sale. Die meisten dieser Aktivitäten können der Magecart-Gruppe zugeordnet werden, die auf die Magento-Plattform abzielt. Darüber hinaus ließ sich eine Zunahme der Angriffe auf andere E-Commerce-Plattformen beobachten, wie in der Grafik dargestellt.
Hosting des Skimming-Toolkits auf BigCommerce
Kürzlich stießen die Sicherheitsforscher auf ein Skimmer-Skript mit mehreren Varianten, das auf E-Commerce-Plattformen wie Magento, BigCommerce und andere abzielt. Einige Varianten dieses Skimmers werden auf beliebten CDNs und auf kompromittierten Amazon S3-Buckets gehostet. CDNs spielen dabei eine wichtige Rolle bei der schnellen Übertragung von Internet-Inhalten wie HTML-Seiten, JavaScript-Dateien, Videos und Bildern, indem sie zwischengespeicherte Versionen der Inhalte speichern und damit die Entfernung zwischen dem Client und den Webservern verringern.
Heutzutage bedienen CDNs den Großteil der öffentlich zugänglichen Webinhalte, und ihre Popularität nimmt dementsprechend auch bei Cyberkriminellen zu. In der Regel betreffen kompromittierte CDNs durch ihre Anbindung eine große Anzahl von E-Commerce-Webseiten. Die Sicherheitsforscher haben kürzlich einen Fall aufgedeckt, in dem das BigCommerce-CDN für den Inhalt einer bestimmten Webseite verwendet und mit einem Skimming-Skript versehen wurde.
Magecart zielt auf Magento ab
Magecart ist eine Skimming-Software, die von verschiedenen Gruppen von Cyberkriminellen seit Jahren für ihre Aktivitäten genutzt wird. Nun wurde ein neues Skimming-Skript entdeckt, dass vor allem auf die Plattform Magento abzielt. Das entdeckte Skimmer-Skript ist speziell für Payment-Plattformen, wie Braintree und Stripe, ausgelegt. Die meisten E-Commerce-Unternehmen lagern den Zahlungsprozess an PCI DSS-konforme und von Drittanbietern gehosteten Felder aus. Hierbei handelt es sich um einen Satz von Iframes der Zahlungsdetails sammelt.
Bisher haben Skimmer-Gruppen die legitimen Zahlungsskripte kompromittiert und das Client-Script aus von ihren kontrollierten Domänen geladen. Anstatt ein HTML-Formular direkt in die kompromittierten Websites zu injezieren werden Iframes verwendet, um die gefälschten Zahlungstextfelder über die legitimen Textfelder einzufügen. Die legitimen Zahlungsfelder werden ausgeblendet, sobald der Iframe mit den gefälschten Zahlungstextfeldern injiziert wird. Da sowohl die legitimen als auch die gefälschten Zahlungsfelder in Form eines Iframe geladen werden, ist die Erkennung erschwert. Die gestohlenen Zahlungsdaten werden auch im Browser des Opfers als Cookies gespeichert, um zu verhindern, dass doppelte Angaben an den C&C-Server gesendet werden.
Schlussfolgerung
Die Online-Shopping-Aktivitäten nehmen aufgrund der äußeren Umstände zu. Daher sollten die zuständigen Webseiten-Administratoren ihr Content-Management-System und ihre Plugins auf dem neuesten Stand halten und für die Bereitstellung der Website-Inhalte ein sicheres CDN verwenden. Online-Einkäufer sollten sicherstellen, dass sie nur Webseiten besuchen, die als legitim bekannt sind. Darüber hinaus sollten sie den Tipps der Polizei-Beratung befolgen und beispielsweise die URL des Online-Shops direkt in den Browser eingeben, um nicht auf gefälschte Seiten umgeleitet zu werden.
Weitere Informationen zum Thema:
Zscaler
Update on JavaScript Skimmer Enhancements
datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren