Forscher haben eine Magecart-Kampagne verfolgt, die sich gegen mehrere große Zahlungsdienstleister richtet, darunter American Express, Diners Club, Discover und Mastercard.
Magecart ist ein Oberbegriff für kriminelle Gruppen, die sich darauf spezialisiert haben, Zahlungsdaten von Online-Checkout-Seiten mithilfe von bösartigem JavaScript zu stehlen, einer Technik, die als Web-Skimming bekannt ist.
In den Anfängen war Magecart eine lose Vereinigung von Cyberkriminellen, die es auf Magento-basierte Webshops abgesehen hatten. Heute wird der Begriff allgemeiner verwendet, um Web-Skimming-Angriffe auf viele E-Commerce-Plattformen zu beschreiben. Bei diesen Angriffen schleusen Kriminelle JavaScript in legitime Checkout-Seiten ein, um Kartendaten und persönliche Angaben zu erfassen, sobald Käufer diese eingeben.
Die von den Forschern beschriebene Kampagne läuft seit Anfang 2022. Sie fanden ein riesiges Netzwerk von Domains, die mit einer seit langem bestehenden Kreditkarten-Skimming-Operation mit großer Reichweite in Verbindung stehen.
„Diese Kampagne nutzt Skripte, die auf mindestens sechs große Zahlungsnetzwerkbetreiber abzielen: American Express, Diners Club, Discover (eine Tochtergesellschaft von Capital One), JCB Co., Ltd., Mastercard und UnionPay. Unternehmen, die Kunden dieser Zahlungsdienstleister sind, sind am ehesten betroffen.“
Angreifer platzieren Web-Skimmer in der Regel auf E-Commerce-Websites, indem sie Schwachstellen in Lieferketten, Skripten von Drittanbietern oder den Websites selbst ausnutzen. Aus diesem Grund müssen Webshop-Betreiber wachsam bleiben, indem sie ihre Systeme auf dem neuesten Stand halten und ihr Content-Management-System (CMS) überwachen.
Web-Skimmer greifen in der Regel mithilfe von JavaScript in den Checkout-Prozess ein. Sie sind so konzipiert, dass sie Formularfelder mit Kartennummern, Ablaufdaten, Kartenprüfnummern (CVC) und Rechnungs- oder Versanddaten auslesen und diese Daten dann an die Angreifer senden.
Um eine Erkennung zu vermeiden, ist das JavaScript stark verschleiert und kann sogar eine Selbstzerstörungsroutine auslösen, um den Skimmer von der Seite zu entfernen. Dies kann dazu führen, dass Untersuchungen, die über eine Admin-Sitzung durchgeführt werden, unverdächtig erscheinen.
Neben anderen Methoden, um unauffindbar zu bleiben, nutzt die Kampagne Bulletproof Hosting für eine stabile Umgebung. Bulletproof Hosting bezeichnet Webhosting-Dienste, die darauf ausgelegt sind, Cyberkriminelle zu schützen, indem sie Beschwerden über Missbrauch, Löschungsanträge und Strafverfolgungsmaßnahmen bewusst ignorieren.
Wie man sicher bleibt
Magecart-Kampagnen betreffen drei Gruppen: Kunden, Händler und Zahlungsanbieter. Da Web-Skimmer innerhalb des Browsers operieren, können sie viele herkömmliche serverseitige Betrugskontrollen umgehen.
Käufer können zwar kompromittierte Checkout-Seiten nicht selbst reparieren, aber sie können ihr Risiko verringern und ihre Chancen verbessern, Betrugsfälle frühzeitig zu erkennen.
Einige Maßnahmen, mit denen Sie sich vor dem Risiko von Web-Skimmern schützen können:
- Verwenden Sie für Online-Einkäufe virtuelle Karten oder Einwegkarten, damit jede gestohlene Kartennummer nur eine begrenzte Gültigkeitsdauer und einen begrenzten Ausgabenrahmen hat.
- Aktivieren Sie nach Möglichkeit Transaktionsbenachrichtigungen (SMS, E-Mail oder App-Push) für Kartenaktivitäten und überprüfen Sie regelmäßig Ihre Abrechnungen, um unberechtigte Abbuchungen schnell zu erkennen.
- Verwenden Sie starke, einzigartige Passwörter für Bank- und Kartenportale, damit Angreifer nicht einfach von gestohlenen Kartendaten zu einer vollständigen Kontoübernahme übergehen können.
- Verwenden Sie eine Webschutzlösung, um Verbindungen zu bösartigen Domänen zu vermeiden.
Profi-Tipp: Malwarebytes Browser Guard ist kostenlos und blockiert bekannte bösartige Websites und Skripte.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
