Skimming-Skript: Neue Bedrohung für das Onlineshopping

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Skimming-Skript: Neue Bedrohung für das Onlineshopping

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
In einer Umfrage des Digitalverbands Bitkom gaben 20 Prozent von 1.000 Befragten an, dass sie jetzt mehr im Internet bestellen als noch vor der Covid-19-Pandemie. Diese Entwicklung bekommen auch Cyberkriminelle mit und weiten ihre Aktivitäten zum Abschöpfen von Kreditkartendaten per Skimming-Skript aus.
Skimming-Skript

Quelle: Panchenko Vladimir/Shutterstock

Kriminelle Gruppierungen, die auf die Skimming-Technik von Bankkarten setzen, kompromittieren dazu E-Commerce-Websites durch neue Angriffsmuster. Ziel der Angreifer ist es, ihre Attacken möglichst lange unbemerkt ausüben zu können, indem sie den Skimming-Skript und damit einhergehenden Datenverkehr in vertrauenswürdigen Skripten verbergen. Dazu kommen derzeit verstärkt Skripts von Drittanbietern oder Content Delivery Networks (CDNs) zum Einsatz. In der Vergangenheit wurden unterschiedlichste E-Commerce-Webseiten mit Hilfe der populären CDN Amazon CloudFront als Host für Skimmer-Codes kompromittiert.

Die Sicherheitsforscher im Team von Zscaler ThreatLabZ verfolgen seit mehreren Monaten die Aktivitäten von Skimming am Point-of-Sale. Die meisten dieser Aktivitäten können der Magecart-Gruppe zugeordnet werden, die auf die Magento-Plattform abzielt. Darüber hinaus ließ sich eine Zunahme der Angriffe auf andere E-Commerce-Plattformen beobachten, wie in der Grafik dargestellt.

Skimming-Skript
Zugriffe auf kompromittierte Websites in den Monaten März, April und Mai 2020. (Grafik: Zscaler)

Skimming-Skript: Hosting des Toolkits auf E-Commerce-Plattformen

Kürzlich stießen die Sicherheitsforscher auf ein Skimming-Skript mit mehreren Varianten, das auf E-Commerce-Plattformen wie Magento, BigCommerce und andere abzielt. Einige Varianten des Skimmers werden auf beliebten CDNs und auf kompromittierten Amazon-S3-Buckets gehostet. CDNs spielen dabei eine wichtige Rolle bei der schnellen Übertragung von Internet-Inhalten wie HTML-Seiten, JavaScript-Dateien, Videos und Bildern, indem sie zwischengespeicherte Versionen der Inhalte speichern und damit die Entfernung zwischen dem Client und den Webservern verringern.

Heutzutage bedienen CDNs den Großteil der öffentlich zugänglichen Webinhalte, und ihre Popularität nimmt dementsprechend auch bei Cyberkriminellen zu. In der Regel betreffen kompromittierte CDNs durch ihre Anbindung eine große Anzahl von E-Commerce-Webseiten. Die Sicherheitsforscher haben kürzlich einen Fall aufgedeckt, in dem das BigCommerce-CDN für den Inhalt einer bestimmten Webseite verwendet und mit einem Skimming Skript versehen wurde.

Skimming-Skript: Magecart zielt auf Magento ab

Magecart ist eine Skimming-Software, die von verschiedenen Gruppen von Cyberkriminellen seit Jahren für ihre Aktivitäten genutzt wird. Nun wurde ein neues Skimming Skript entdeckt, dass vor allem auf die Plattform Magento abzielt. Das entdeckte Skimming-Skript ist speziell für Payment-Plattformen, wie Braintree und Stripe, ausgelegt. Die meisten E-Commerce-Unternehmen lagern den Zahlungsprozess an PCI DSS-konforme und von Drittanbietern gehosteten Felder aus. Hierbei handelt es sich um einen Satz von Iframes der Zahlungsdetails sammelt.

Bisher haben Skimmer-Gruppen die legitimen Zahlungsskripte kompromittiert und das Client-Script aus von ihren kontrollierten Domänen geladen. Anstatt ein HTML-Formular direkt in die kompromittierten Websites zu injizieren werden Iframes verwendet, um die gefälschten Zahlungstextfelder über die legitimen Textfelder einzufügen. Die legitimen Zahlungsfelder werden ausgeblendet, sobald der Iframe mit den gefälschten Zahlungstextfeldern injiziert wird. Da sowohl die legitimen als auch die gefälschten Zahlungsfelder in Form eines Iframe geladen werden, ist die Erkennung erschwert. Die gestohlenen Zahlungsdaten werden auch im Browser des Opfers als Cookies gespeichert, um zu verhindern, dass doppelte Angaben an den C&C-Server gesendet werden.

CMS-Lösungen und Plug-ins aktualiseren

Die Onlineshopping-Aktivitäten nehmen aufgrund der äußeren Umstände zu. Daher sollten die Webseiten-Administratoren ihr Content-Management-System und ihre Plug-ins auf dem neuesten Stand halten und für die Bereitstellung der Website-Inhalte ein sicheres Content Delivery Networks verwenden. Online-Einkäufer sollten sicherstellen, dass sie nur Webseiten besuchen, die als legitim bekannt sind. Darüber hinaus sollten sie den Tipps der Polizei-Beratung befolgen und beispielsweise die URL des Onlineshops direkt in den Browser eingeben, um nicht auf gefälschte Seiten umgeleitet zu werden. (sg)

Lesen Sie auch: Betrugsprävention: Crifbürgel bietet modulare Lösung gegen Online-Betrug

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Data-Driven-Marketing kann aufgrund gesetzlicher Änderungen nicht mehr in der bisherigen Form genutzt werden. Daher sollten Marketer jetzt vor allem auf kundengetriebenes Marketing setzen.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Fashion commerce

Wann jetzt handeln gefragt ist

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.