Magecart ist eine Bezeichnung, die ursprünglich auf eine spezielle Gruppe von Cyberkriminellen angewendet wurde, sich jedoch im Laufe der Zeit zu einem allgemeinen Begriff für eine ganze Kategorie von Angriffen entwickelt hat, die auf E-Commerce-Plattformen abzielen. Diese Technik umfasst das Einbringen von schädlichem JavaScript-Code in die Webseiten von Online-Händlern, meist durch Kompromittierung von Drittanbieter-Komponenten, um Kreditkarteninformationen von nichts-ahnenden Kunden zu stehlen.
Prominente Opfer
Neben British Airways, dem Online Shop Anbieter Magento und dem Online Kleiderhandel Hanna Anderson wurden auch über 17.000 Betreiber von Amazon AWS S3 Buckets teils unter den Top 4000 Domains Ihres Landes Opfer dieser Attacken. Dabei war meist unzureichendes Wissen über die von Haus aus unsicher konfigurierten Amazon S3 Buckets, die Auslöser.
Lesen Sie gerne unseren Artikel über Amazon S3 Bucket Angriffstechniken, falls Sie Interesse haben mehr über Angriffstechniken auf Amazon AWS S3 Buckets zu erfahren.
Eintrittsvektoren der Hacker
- Kompromittierung von Drittanbieter-Komponenten: Viele Websites nutzen Drittanbieter-Scripts für verschiedene Funktionen wie Chat-Services, Kundenbewertungen oder Zahlungsabwicklungen. Angreifer finden oft Schwachstellen in diesen Scripts, die es ihnen ermöglichen, ihren bösartigen Code zu injizieren.
- Direkter Angriff auf die E-Commerce-Plattform: Wenn es den Angreifern gelingt, Zugriff auf die Infrastruktur eines Online-Händlers zu erhalten, können sie direkt schädlichen Code in die Webseiten einfügen.
- Social Engineering und Phishing: Um Zugangsdaten zu erlangen, verwenden Angreifer häufig Täuschungstechniken gegenüber Mitarbeitern von E-Commerce-Unternehmen.
Magecart-Akteure nutzen verschiedene Methoden, um den schädlichen Code in E-Commerce-Plattformen einzuschleusen:
Ausführung
Nachdem der Code injiziert wurde, wird er ausgeführt, sobald ein Kunde eine Transaktion durchführt. Der schädliche Code erfasst dabei die eingegebenen Zahlungsdaten und leitet sie an einen vom Angreifer kontrollierten Server weiter. Diese Datenexfiltration geschieht oft, ohne dass weder der Kunde noch der Betreiber der Webseite irgendwelche Auffälligkeiten bemerken.
Erkennung und Prävention
Die folgenden meißt vorherrschenden Rahmenbedingungen erleichtern die Angriffe:
- Komplexität der Webseiten: Moderne Webseiten laden zahlreiche externe Ressourcen, was das Sicherheitsumfeld komplex macht.
- Dynamischer Code: Angreifer nutzen Obfuskationstechniken, um ihren Code zu verstecken, was die Erkennung erschwert.
- Mangel an Sicherheitsbewusstsein: Nicht alle Unternehmen sind sich der Risiken bewusst, die von Drittanbieter-Scripts ausgehen.
Um Magecart-Angriffe zu erkennen und zu verhindern, setzt man möglichst auf Lösungen wie:
- Content Security Policy (CSP): Damit können Sie die Quellen definieren, von denen Scripts geladen werden dürfen.
- Subresource Integrity (SRI): Durch das Hinzufügen von Integritäts-Attributen zu Script-Tags können Sie sicherstellen, dass nur der von Ihnen genehmigte Code ausgeführt wird.
- Echtzeitüberwachung: Überwachungstools können den Webseitenverkehr in Echtzeit analysieren, um ungewöhnliche Muster zu identifizieren, die auf eine Kompromittierung hinweisen könnten.
- Regelmäßige Sicherheitsaudits: Sie betonen die Bedeutung von regelmäßigen Sicherheitsüberprüfungen, um Schwachstellen in Drittanbieter-Scripts und auf den Webseiten selbst zu identifizieren.
Ausblick
Das Verständnis der Angriffsmethoden und das Implementieren fortschrittlicher Präventionsmaßnahmen sind für den Schutz sensibler Kundendaten unerlässlich. Mit unserer langjährigen Erfahrung auf Source Code Ebene und als Ethical Hacker stehen wir Ihnen gerne Rede und Antwort.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: