Cyberkriminalität: Die drei größten Bedrohungen für den Onlinehandel in der Vorweihnachtszeit

Uns stehen ungewöhnliche Weihnachten bevor. Die geplanten Maßnahmen gegen die Corona-Pandemie sehen für Dezember strengere Regeln für den stationären Handel vor. Gleichzeitig boomt der E-Commerce und die Verbraucher klicken sich auf der Jagd nach Geschenken emsig durch das Internet. Nach einer aktuellen Umfrage von YouGov wollen 36 Prozent der Deutschen ihre Weihnachtseinkäufe in diesem Jahr wegen dem Corona-Virus lieber online tätigen als sich in stark frequentierten Einkaufsstraßen und Geschäften. Das gibt dem ohnehin stark wachsenden Online-Geschäft zusätzlichen Schub. Gefahren gehen allerdings verstärkt von der Cyberkriminalität aus.

Wachstumsbranche E-Commerce zieht Cyberkriminalität an

Bereits im dritten Quartal dieses Jahr verzeichnete die E-Commerce-Branche laut einer Studie des BEVH zweistellige Zuwachsraten (13,3 Prozent). Insgesamt beliefen sich die Warenumsätze auf 19,3 Millionen Euro inklusive Umsatzsteuer, im Vorjahr waren es noch 17 Millionen Euro. Grund für das anhaltende überdurchschnittliche Wachstum ist die Corona-Krise.  Für die IT-Sicherheit heißt das: Aufpassen, denn auch für Cyberkriminelle beginnt mit der Wintersaison ein lukratives Geschäft.

Die Analysten des Threat-Intelligence-Anbieters Digital Shadows haben die häufigsten cyberkriminellen Taktiken, Strategien und Sicherheits-Alerts der letzten Monate im Bereich Onlinehandel unter die Lupe genommen. Zu den drei gefährlichsten Bedrohungen zählen demnach mit 49 Prozent Datenhacks und Datenleaks, mit 45 Prozent Reputationsschäden der Marke und mit sechs Prozent Angriffe auf die Infrastruktur von Einzelhändlern.

1. Cyberkriminalität: Sensible Daten exponiert im Netz

Die Analysten fanden im Untersuchungszeitraum vom August bis November 2020 über zehntausend Fälle von Datenleaks. Die exponierten Informationen reichen von Logins und Zugangsschlüsseln bis hin zu sogenannten Code-Commits, die Entwickler im Rahmen der Versionsverwaltung auf Plattformen im Netz wie Github veröffentlichen und teilen. Nicht immer werden dabei alle nötigen Sicherheitseinstellungen berücksichtigt. Die technischen Datenleaks können deshalb sehr schnell brandgefährlich werden. So fanden sich unter den exponierten Daten beispielweise eine Reihe an ungeschützten Zugriffsschlüssel für Amazon Web Services. Fallen diese in die Hände von Cyberkriminellen, können die Angreifer ohne Probleme auf kritische oder sensible Datenbanken zugreifen, Kunden und Finanzdaten stehlen oder das Unternehmen ausspionieren. 

Technische Datenleaks auf so genannten Code-Hostern oder Code-Repositories schlagen in der Öffentlichkeit weit weniger große Wellen als etwas geleakte Kunden- oder Mitarbeiterinformationen. Trotzdem heißt es aufgepasst: Denn richtig ausgenutzt, lässt sich auf diesem Weg viel über die Back-End-Lösungen und Infrastruktur von Unternehmenswebseiten und Online-Shops lernen. Finden sich dann noch Sicherheitslücken, steht einem Angriff über Malware oder DDoS-Attacken (Distributed Denial of Service) nicht mehr viel im Weg. 

2. Fake Domains gefährden die Sicherheit der Marke

Wenn das Image der Marke durch Cyberkriminalität gezielt beschädigt wird, kann das hohe Kosten verursachen und langfristige Folgen für die Wettbewerbsfähigkeit haben. Schätzungen gehen davon aus, dass ein gestörtes Verhältnis zum Kunden Unternehmen weltweit im Jahr bis zu 2,5 Billionen US-Dollar kostet. Die Gründe für Reputationsverlust sind vielfältig. Aus der Perspektive der Cybersicherheit sind unter anderem Datenschutzverstöße sowie die Verbreitung von falschen oder gefährlichen Inhalten über Spoof Domains oder Fake Social Media Accounts zu nennen.

Bei Spoof oder Fake Domains handelt es sich um Markenmissbrauch. In ihrer einfachsten Form nutzt die Spoof-Domain lediglich eine ähnliche URL. Manche Seiten imitieren den Online Auftritt eines Unternehmens wiederum so gut, dass Besucher schon sehr genau nach Unstimmigkeiten suchen müssen. Die Methode funktioniert natürlich auch auf Facebook, Instagram, TikTok, Twitter & Co. Hier kann es nicht nur den Unternehmens-Account treffen. Auch vermeintliche CEOs und Mitarbeiter treiben sich unter falschen oder „geborgten“ Namen in den sozialen Netzwerken herum.

Das Ziel ist bei beiden Varianten gleich: Besucher sollen über Gewinnspiele, Serviceangebote oder Rabattaktionen auf Phishing-Seiten gelotst werden und dort ihre persönlichen Daten preisgeben. In anderen Fällen werden täuschend echte E-Mails des Kundenservices verschickt, um Malware einzuschleusen oder Finanzdaten abzufangen. 

45 Prozent der von Digital Shadows untersuchten Alerts fielen unter diese Kategorie. Einige Phishing-Kampagnen zielten dabei sogar auf bestimmte Kundensegmente oder einzelne Marken. Doch der Onlinehandel ist nicht nur während des Weihnachtsgeschäfts ein beliebtes Ziele für Phishing. Von den über 100 Angeboten für vorgefertigte Phishing-Templates, die im Darknet zum Verkauf stehen, zielen 29 Prozent auf den Einzelhandel. Der Durchschnittspreis für die Templates liegt bei knapp 19 Euro. Social Media-Vorlagen sind schon für ein oder zwei Euro zu haben.

3. Über 1.300 Risiken für die Infrastruktur

Eine weitere Bedrohung für den Einzelhandel stellen Angriffe auf die Infrastruktur dar. Hier meldete Digital Shadows insgesamt 1.300 verdächtige Aktivitäten und Vorfälle, einschließlich angreifbarer Ports, fehlerhafte Zertifikate und Software Vulnerabilities. Wie ein solcher Angriff auf die Infrastruktur ablaufen kann zeigt ein Beispiel eines Händlers im April diesen Jahres. Cyberkriminalität nutzt hierbei einen Magecart Skimming-Code, um die Finanzdaten von Kunden auszuspähen.

Bei Magecart handelt es sich um ein schnell wachsendes Konsortium von Cyberkriminellen, das aus mehreren Dutzend Untergruppen besteht und sich auf die Kompromittierung von Online-Shopping-Cart-Systeme spezialisiert hat. Das Malware-Framework nutzt den Umstand aus, dass viele Online-Unternehmen nur wenig Einblick in die Angriffsfläche von Drittanbieter-Software von VAR oder Systemintegratoren besitzen. In vielen Fällen haben die Opfer keine Ahnung, dass beispielsweise das JavaScript auf ihrer Website geändert und dort ein bösartiger Code eingeschleust wurde.

Im Beispielfall befand sich der Skimming-Code auf den Bezahlseiten der Webseite und nutzte eine legitime Datei, die auf den Shop-Server gehostet wurde. Damit war der Code direkt mit dem „Kauf abschließen“-Button verbunden und konnte alle während des Checkouts eingegebenen Informationen als Screenshot speichern. Die Bilder wurden dann verschlüsselt an eine vom Angreifer kontrollierte Webseite weitergeleitet.

Black Friday ist Festtag für die Cyberkriminalität

Einzelhändler sollten diese Bedrohungen kennen und ihre Key Assets entsprechend schützen. An erster Stelle steht die Frage: Welche Marken, Systeme oder Personen im Unternehmen müssen besonders geschützt werden? Monitoring-Tools nutzen solche Listen, um das Open, Deep und Darknet (und nicht nur Social Media) kontinuierlich zu scannen und nach Verdachtsfällen zu suchen. Zeitnahe Alerts erlauben es der IT-Sicherheit entsprechende Maßnahmen zu ergreifen – beispielsweise Takedown-Verfahren bei Verletzung des Markennamens oder das Schließen von Sicherheitslücken.

Das Weihnachtsgeschäft bietet für Cyberkriminellen aber nicht nur vielfältige Gelegenheiten, um Angriffe zu starten. Viele Akteure nutzen die Gunst der Stunde, um selbst auf Einkaufstour zu gehen und sich mit den aktuellsten Malware-Varianten auszustatten. Andere überschlagen sich mit Angeboten und bieten Login-Daten und Zugangscode zum Schnäppchenpreis an. Black Friday wird daher auch im Darknet und auf kriminellen Foren im Kalender rot markiert. Naturgemäß erreicht das Interesse um Black Friday-Aktionen am Tag selbst seinen Höhepunkt – am 27. November 2020. Ein Blick in die Chat-Nachrichten, Forenbeiträge sowie einschlägige Seiten im Darknet liefert wie im Vorjahr zahlreiche Erwähnungen rund um die speziellen Deals und Angebote. (sg)

Über den Autor: Stefan Bange ist Country Manager DACH bei Digital Shadows.

Lesen Sie auch: Security-Awareness: 5 Mythen von simulierten Phishing-Kampagnen