Magecart Angriffe

Table of Contents

Magecart ist eine Bezeichnung, die ursprünglich auf eine spezielle Gruppe von Cyberkriminellen angewendet wurde, sich jedoch im Laufe der Zeit zu einem allgemeinen Begriff für eine ganze Kategorie von Angriffen entwickelt hat, die auf E-Commerce-Plattformen abzielen. Diese Technik umfasst das Einbringen von schädlichem JavaScript-Code in die Webseiten von Online-Händlern, meist durch Kompromittierung von Drittanbieter-Komponenten, um Kreditkarteninformationen von nichts-ahnenden Kunden zu stehlen.

Prominente Opfer

Neben British Airways, dem Online Shop Anbieter Magento und dem Online Kleiderhandel Hanna Anderson wurden auch über 17.000 Betreiber von Amazon AWS S3 Buckets teils unter den Top 4000 Domains Ihres Landes Opfer dieser Attacken. Dabei war meist unzureichendes Wissen über die von Haus aus unsicher konfigurierten Amazon S3 Buckets, die Auslöser.

Lesen Sie gerne unseren Artikel über Amazon S3 Bucket Angriffstechniken, falls Sie Interesse haben mehr über Angriffstechniken auf Amazon AWS S3 Buckets zu erfahren.

Eintrittsvektoren der Hacker

  • Kompromittierung von Drittanbieter-Komponenten: Viele Websites nutzen Drittanbieter-Scripts für verschiedene Funktionen wie Chat-Services, Kundenbewertungen oder Zahlungsabwicklungen. Angreifer finden oft Schwachstellen in diesen Scripts, die es ihnen ermöglichen, ihren bösartigen Code zu injizieren.
  • Direkter Angriff auf die E-Commerce-Plattform: Wenn es den Angreifern gelingt, Zugriff auf die Infrastruktur eines Online-Händlers zu erhalten, können sie direkt schädlichen Code in die Webseiten einfügen.
  • Social Engineering und Phishing: Um Zugangsdaten zu erlangen, verwenden Angreifer häufig Täuschungstechniken gegenüber Mitarbeitern von E-Commerce-Unternehmen.

Magecart-Akteure nutzen verschiedene Methoden, um den schädlichen Code in E-Commerce-Plattformen einzuschleusen:

Ausführung

Nachdem der Code injiziert wurde, wird er ausgeführt, sobald ein Kunde eine Transaktion durchführt. Der schädliche Code erfasst dabei die eingegebenen Zahlungsdaten und leitet sie an einen vom Angreifer kontrollierten Server weiter. Diese Datenexfiltration geschieht oft, ohne dass weder der Kunde noch der Betreiber der Webseite irgendwelche Auffälligkeiten bemerken.

Erkennung und Prävention

Die folgenden meißt vorherrschenden Rahmenbedingungen erleichtern die Angriffe:

  • Komplexität der Webseiten: Moderne Webseiten laden zahlreiche externe Ressourcen, was das Sicherheitsumfeld komplex macht.
  • Dynamischer Code: Angreifer nutzen Obfuskationstechniken, um ihren Code zu verstecken, was die Erkennung erschwert.
  • Mangel an Sicherheitsbewusstsein: Nicht alle Unternehmen sind sich der Risiken bewusst, die von Drittanbieter-Scripts ausgehen.

Um Magecart-Angriffe zu erkennen und zu verhindern, setzt man möglichst auf Lösungen wie:

  • Content Security Policy (CSP): Damit können Sie die Quellen definieren, von denen Scripts geladen werden dürfen.
  • Subresource Integrity (SRI): Durch das Hinzufügen von Integritäts-Attributen zu Script-Tags können Sie sicherstellen, dass nur der von Ihnen genehmigte Code ausgeführt wird.
  • Echtzeitüberwachung: Überwachungstools können den Webseitenverkehr in Echtzeit analysieren, um ungewöhnliche Muster zu identifizieren, die auf eine Kompromittierung hinweisen könnten.
  • Regelmäßige Sicherheitsaudits: Sie betonen die Bedeutung von regelmäßigen Sicherheitsüberprüfungen, um Schwachstellen in Drittanbieter-Scripts und auf den Webseiten selbst zu identifizieren.

Ausblick

Das Verständnis der Angriffsmethoden und das Implementieren fortschrittlicher Präventionsmaßnahmen sind für den Schutz sensibler Kundendaten unerlässlich. Mit unserer langjährigen Erfahrung auf Source Code Ebene und als Ethical Hacker stehen wir Ihnen gerne Rede und Antwort.

Tags :

Related Posts

Quishing - ein Evolution von Phishing

“Quishing” ist eine Form des Phishing, bei der Angreifer QR-Codes verwenden, um Nutzer auf bösartige Websites zu leiten oder andere betrügerische Handlungen auszuführen. Der Begriff “Quishing” setzt sich aus den Worten “QR Code” und “Phishing” zusammen. Hier sind einige Punkte, die das Phänomen “Quishing” näher erläutern:

Read More

Die Rapid Reset DDOS Attacke: Http2 fähige Server jetzt patchen

Ende August tauchte eine neue Bedrohung für Webserver in Form einer Distributed Denial Of Service (DDOS) Attacke auf: Die Rapid Reset Technik (CVE-2023-44487). Nach einer Analyse von Google, wurde mit einem relativ kleinen Botnet aus die bisher grösste DDOS Angriffswelle auf deren Infrastruktur festgestellt, die es je gab. Ähnliches berichtet auch Cloudflare, dort wurde Ende August ausgehend von einem kleinen Botnet von 20.000 PCs eine DDOS Attacke ausgelöst, die fast 3 mal heftiger war als alles bisher gemessene.

Read More

Phishing-Angriffe - die unterschätzte Bedrohung

Phishing gehört zu den häufigsten Cyber-Bedrohungen, denen Unternehmen und ihre Mitarbeiter ausgesetzt sind. Phishing zielt darauf ab, insbesondere mit betrügerischen E-Mails an die Benutzerkennungen und zugehörigen Passwörter der Mitarbeiter zu gelangen. Diese Angriffe können gravierende Folgen haben, von Identitätsdiebstahl bis hin zu finanziellem Verlust und unberechtigtem Zugang zu Unternehmensnetzwerken.

Read More