E-Skimming ist seit langem eine Bedrohung beim Online-Shopping und mit dem Anstieg des E-Commerce steigt gleichzeitig die Häufigkeit dieses Cyberangriffes. Die aktuelle globale Krise bietet Hackern eine weitere große Chance, diese Angriffe zu erhöhen, da die Menschen vermehrt online einkaufen. Die ruchlosen Cyberkriminellen haben es auf Online-Zahlungssysteme und auf die Daten von Kundenkarten abgesehen.

Im Gegensatz zu traditionellen Cyber-Angriffen, bei denen eine gesamte Kundendatenbank in einem einzigen Hit-and-Run-Angriff ins Visier genommen werden kann, werden bei E-Skimming-Angriffen die Zahlungsdaten der Kunden kontinuierlich am Kaufort abgefangen, wodurch sie schwieriger aufzuspüren und häufig sowohl für Kunden als auch für Einzelhändler unerkannt bleiben.

Mehrere kriminelle Gruppen haben sich im Laufe der Jahre sehr geschickt mit dieser Art von Angriffen auseinandergesetzt, von denen die am weitesten verbreitete und erfolgreichste als Magecart bekannt ist. Magecart ist ein Oberbegriff für eine Reihe raffinierter krimineller Gruppen, die ähnliche Malware und Techniken einsetzen – alle mit dem Ziel, Kreditkarteninformationen von Online-Händlern zu stehlen.

Es ist bekannt, dass die Magecart-Gruppen seit 2016 aktiv sind und hinter einigen der größten Angriffe auf Zahlungssysteme in den letzten Jahren stecken, darunter British Airways (2018), Newegg electronics (2018), der Fanartikel-Laden Atlanta Hawks Shop (2019), Abonnements der Zeitschrift Forbes (2019) sowie Websites für den Ticketverkauf für die Olympischen Spiele 2020 und das UEFA Fußballturnier 2020. Solche Angriffe brachten Magecart 2018 einen Platz auf der Liste der „Gefährlichsten Menschen im Internet“ der Zeitschrift Wired ein.

 

Wie es funktioniert

Bei den meisten E-Skimming-Angriffen fügt der Angreifer einen zusätzlichen Code in die E-Commerce-Anwendung eines Einzelhändlers ein. Bei den jüngsten Angriffen der Magecart-Gruppe wurde dies durch die Kompromittierung einer vertrauenswürdigen externen Drittpartei erreicht, deren Code rechtmäßig in der Anwendung enthalten ist, dies kann ein externer Codespeicher, ein Chatbot oder ein Werbeanbieter sein.

Bisher haben Forscher mehr als 40 verschiedene „code-injektions-exploits“ identifiziert, die manchmal bis zu 20 Zeichen lang sind und schwer zu entdecken sein können, es sei denn, der Anwendungscode würde Zeile für Zeile auf Änderungen untersucht werden.

Angreifer haben auch die Verwendung gültiger SSL-Zertifikate integriert, die an die Domains gebunden sind und bösartigen Code übermitteln. Dies lässt den Datenverkehr legitim erscheinen und verhindert, dass Kunden Warnungen über gemischte Inhalte erhalten, sobald die Website versucht, vertrauenswürdige, verschlüsselte Website-Inhalte mit bösartigen Inhalten, die unverschlüsselt zugestellt werden, zu vermischen.

In einem kürzlich erschienenen Bericht wurden auch Magecart-Angriffe beschrieben, bei denen falsch konfigurierte Zugriffskontrollen auf Amazon S3-Buckets den Angreifern erlaubten, ihren Skimmer-Code an bestehende JavaScript-Anwendungscode-Dateien anzuheften.

 

Abwehr von Card-Skimming-Angriffen

Die beste proaktive Cyber-Verteidigung, die ein Unternehmen zur Abwehr von Card-Skimming-Angriffen implementieren kann, besteht darin, den „e-commerce application stack“ abzusichern und einzuschränken, welcher Code ausgeführt werden darf.

  • Verwenden Sie eine kostenlose Online-Scan-Applikation, um verdächtige Verbindungen zu erkennen, die durch in die Anwendung eingefügte Skripte geöffnet werden. Browser-Entwicklertools können auch zur Analyse von Inhalten und zur Erkennung verdächtiger Verbindungen verwendet werden, die während einer Kundensitzung hergestellt wurden.
  • Verwenden Sie die Amazon-Option „Block Public Access“ für alle S3-Buckets, die von der Organisation verwendet werden, um unbefugte Änderungen an Anwendungsdateien zu verhindern.
  • Definieren Sie eine Sicherheitsrichtlinie für Inhalte (Content Security Policy, CSP), die eine Liste von Orten definiert, von denen Ressourcen auf Ihre Website geladen werden können. Dies sollte auf alle sensiblen Seiten angewendet werden; beispielsweise Zahlungsseiten, Anmeldeseiten und andere Bereiche, in denen Benutzer sensible Informationen eingeben.
  • Überprüfen Sie alle externen Skripte, wie z. B. die von Werbepartnern, mit Hilfe der „Subresource Integrity (SRI)“. Dadurch wird sichergestellt, dass alle Skripte, die von externen Quellen eingebunden werden, gehasht und gegen einen bekannten guten Wert geprüft werden, um sicherzustellen, dass es sich um die Dateien handelt, von denen Sie erwarten, dass sie geladen werden, und wenn dies nicht der Fall ist, wird das Laden durch den Browser blockiert.
  • Stellen Sie sicher, dass alle Assets auf sensiblen Seiten SRI verwenden. Die Verwendung der „require-sri-for“-Direktive im CSP zur Durchsetzung von SRI auf allen Skripten und Style-Tags verhindert, dass Assets auf diesen Seiten enthalten sind, bei denen SRI nicht aktiviert ist.

Die von Magecart und ähnlichen Cyberkriminellen beobachteten Aktivitäten zeigen, dass diese eine hartnäckige und widerstandsfähige Bedrohung darstellen. Die lukrative Natur von Card-Skimming-Angriffen bewirkt, dass sich die Angriffe sowohl im Hinblick auf die Tarnung als auch auf die Reaktionsfähigkeit auf Sicherheitsvorkehrungen weiter entwickeln werden. Bei vielen der Angriffe, die wir bisher von diesen Gruppen erlebt haben, hätten sie jedoch, wenn die oben beschriebenen Maßnahmen umgesetzt worden wären, erheblich dazu beigetragen, einige sehr peinliche und teure Übergriffe zu verhindern.

Behalten Sie mit DXCs monatlichem Threat Intelligence Report den Überblick über die neuesten „ransomware schemes“.