[datensicherheit.de, 26.05.2020] Online-Shopping erlebt einen Boom während der Corona-Krise, da das virtuelle Einkaufen eine vermeintlich sichere Alternative bietet. Der Bitkom hat festgestellt, dass im Durschnitt 3 von 10 Verbrauchern sogar ihre Lebensmittel online bestellen. In einer weiteren Umfrage des Digitalverbands gaben 20 Prozent von 1.000 Befragten an, dass sie jetzt mehr im Internet bestellen als noch vor COVID-19. Um diese Entwicklungen wissen jedoch auch Cyberkriminelle und weiten ihre Aktivitäten zum Abschöpfen von Kreditkartendaten (Card-Skimming) entsprechend aus.

Kriminelle Gruppierungen kompomitieren E-Commerce-Websites

Kriminelle Gruppierungen, die auf die Technik des Card-Skimmings setzen, kompromittieren dazu E-Commerce-Websites durch neue Angriffsmuster. Ziel der Angreifer ist es ihre Attacken möglichst lange unbemerkt ausüben zu können, indem sie den Skimmer-Code und damit einhergehenden Datenverkehr in vertrauenswürdigen Skripten verbergen. Dazu kommen derzeit verstärkt Skripts von Drittanbietern oder Content Delivery Networks (CDNs) zum Einsatz. In der Vergangenheit wurden unterschiedlichste E-Commerce-Seiten mit Hilfe von dem populären CDN Amazon CloudFront als Host für Skimmer-Codes kompromittiert.

Die Sicherheitsforscher des ThreatLabZ-Teams, ein Teil von Zscaler, verfolgen seit mehreren Monaten die Skimming-Aktivitäten am Point-of-Sale. Die meisten dieser Aktivitäten können der Magecart-Gruppe zugeordnet werden, die auf die Magento-Plattform abzielt. Darüber hinaus ließ sich eine Zunahme der Angriffe auf andere E-Commerce-Plattformen beobachten, wie in der Grafik dargestellt.

Hosting des Skimming-Toolkits auf BigCommerce

Kürzlich stießen die Sicherheitsforscher auf ein Skimmer-Skript mit mehreren Varianten, das auf E-Commerce-Plattformen wie Magento, BigCommerce und andere abzielt. Einige Varianten dieses Skimmers werden auf beliebten CDNs und auf kompromittierten Amazon S3-Buckets gehostet. CDNs spielen dabei eine wichtige Rolle bei der schnellen Übertragung von Internet-Inhalten wie HTML-Seiten, JavaScript-Dateien, Videos und Bildern, indem sie zwischengespeicherte Versionen der Inhalte speichern und damit die Entfernung zwischen dem Client und den Webservern verringern.

Heutzutage bedienen CDNs den Großteil der öffentlich zugänglichen Webinhalte, und ihre Popularität nimmt dementsprechend auch bei Cyberkriminellen zu. In der Regel betreffen kompromittierte CDNs durch ihre Anbindung eine große Anzahl von E-Commerce-Webseiten. Die Sicherheitsforscher haben kürzlich einen Fall aufgedeckt, in dem das BigCommerce-CDN für den Inhalt einer bestimmten Webseite verwendet und mit einem Skimming-Skript versehen wurde.

Magecart zielt auf Magento ab

Magecart ist eine Skimming-Software, die von verschiedenen Gruppen von Cyberkriminellen seit Jahren für ihre Aktivitäten genutzt wird. Nun wurde ein neues Skimming-Skript entdeckt, dass vor allem auf die Plattform Magento abzielt. Das entdeckte Skimmer-Skript ist speziell für Payment-Plattformen, wie Braintree und Stripe, ausgelegt. Die meisten E-Commerce-Unternehmen lagern den Zahlungsprozess an PCI DSS-konforme und von Drittanbietern gehosteten Felder aus. Hierbei handelt es sich um einen Satz von Iframes der Zahlungsdetails sammelt.

Bisher haben Skimmer-Gruppen die legitimen Zahlungsskripte kompromittiert und das Client-Script aus von ihren kontrollierten Domänen geladen. Anstatt ein HTML-Formular direkt in die kompromittierten Websites zu injezieren werden Iframes verwendet, um die gefälschten Zahlungstextfelder über die legitimen Textfelder einzufügen. Die legitimen Zahlungsfelder werden ausgeblendet, sobald der Iframe mit den gefälschten Zahlungstextfeldern injiziert wird. Da sowohl die legitimen als auch die gefälschten Zahlungsfelder in Form eines Iframe geladen werden, ist die Erkennung erschwert. Die gestohlenen Zahlungsdaten werden auch im Browser des Opfers als Cookies gespeichert, um zu verhindern, dass doppelte Angaben an den C&C-Server gesendet werden.

Schlussfolgerung

Die Online-Shopping-Aktivitäten nehmen aufgrund der äußeren Umstände zu. Daher sollten die zuständigen Webseiten-Administratoren ihr Content-Management-System und ihre Plugins auf dem neuesten Stand halten und für die Bereitstellung der Website-Inhalte ein sicheres CDN verwenden. Online-Einkäufer sollten sicherstellen, dass sie nur Webseiten besuchen, die als legitim bekannt sind. Darüber hinaus sollten sie den Tipps der Polizei-Beratung befolgen und beispielsweise die URL des Online-Shops direkt in den Browser eingeben, um nicht auf gefälschte Seiten umgeleitet zu werden.

Weitere Informationen zum Thema:

Zscaler
Update on JavaScript Skimmer Enhancements

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

[datensicherheit.de, 16.04.2020] Video-Portale wie Netflix, Amazon Prime und Disney+ verzeichnen in Zeiten, in denen viele Menschen zuhause bleiben, einen Ansturm auf ihr Angebot. Dies ging teilweise soweit, dass Anbieter die Auflösung und damit die Bandbreite ihrer Streams verringern mussten, um Kapazitäten für andere Dienste freizuhalten.

Beliebtheit zieht auch Betrüger an

Wie so oft, wenn ein Service sich größerer Beliebtheit erfreut, bringt dies auch Betrüger auf den Plan, die sich dadurch bereichern wollen. Wie Forscher des E-Mail-Security- und Cyber-Resilience-Anbieters Mimecast herausgefunden haben, sind derzeit diverse Spam-Webseiten online, die vorgeben, von bekannten Streaming-Anbietern zu stammen. In ihnen wird ein scheinbar kostenloses Angebot beworben, lediglich die Registrierung auf der jeweiligen Seite des Anbieters sei notwendig, um mit dem Serienmarathon zu beginnen. Klickt der Empfänger auf den Registrierungs-Link, wird er auf eine im gleichen Maße echt aussehende Website weitergeleitet, auf der er sich unter Angabe persönlicher Daten registrieren soll. Hierzu gehören etwa E-Mail- und postalische Adresse sowie Kreditkartendaten.

Kreditkartenmissbrauch droht

Hat das Opfer erst einmal seine Daten eingegeben, kann er sich nicht über einen kostenfreien Zugang zu Video-Streams freuen, sondern muss damit rechnen, dass seine Kreditkartendaten missbraucht werden oder seine E-Mail-Adresse in Zukunft Ziel von Spam-Mails wird.

Die vorgeblichen Gratisangebote von Netflix, Amazon et cetera sehen dabei täuschend echt aus, sodass es selbst Profis schwerfallen dürfte, sie auf den ersten Blick von authentischen Seiten zu unterscheiden. Weder die genutzte Sprache noch das Design geben einen Grund zum Zweifel.

Foto: Mimecast

Carl Wearn, Head of E-Crime bei Mimecast

Carl Wearn, Head of E-Crime bei Mimecast hierzu: „Die COVID-19-Pandemie und die daraus resultierende Abriegelung haben dazu geführt, dass die Menschen zu Hause viel mehr Zeit zur Verfügung haben. Eine Möglichkeit, wie man diese Zeit füllen kann, sind Streaming-Dienste. Dieses ‚Binge-Watching‘ ist mit Sicherheitsrisiken verbunden, da Cyberkriminelle versuchen, sich den Aufwärtstrend beim Fernsehkonsum zunutze zu machen. Wir haben einen dramatischen Anstieg verdächtiger Bereiche erlebt, in denen sich eine Vielzahl von ruchlosen Akteuren für Streaming-Giganten ausgeben.“

Sein Ratschlag, wie man nicht Opfer einer solchen Attacke wird: „Bleiben Sie achtsam und seien Sie skeptisch, was sowohl Absender von Mails als auch solche Angebote an sich betrifft. Wie so häufig gilt: Wenn etwas zu schön klingt, um wahr zu sein, ist es höchstwahrscheinlich auch so.“

Neben einer erhöhten Skepsis was attraktive Angebote angeht, kann zudem eine Lösung zur E-Mail-Security helfen, auch in Zeiten, in denen vermehrt von Zuhause gearbeitet wird, sicher zu bleiben. Eine solche Lösung prüft sowohl den Absender der Mail auf seine Authentizität als auch in der Mail enthaltene Links auf etwaige Phishing-Versuche. Verweist ein Link in einer Mail beispielsweise auf eine Spoofing-Website, blockiert die Lösung die Mail sofort – und der potenzielle Empfänger bekommt davon noch nicht einmal etwas mit.

Weitere Informationen zum Thema:

datensicherheit.de, 27.02.2020
Mimecast Threat Intelligence Report – Emotet ist zurück

datensicherheit.de, 12.01.2020
Mimecast warnt vor neuer Sicherheitslücke in Microsoft-Office-Produkten

Von unserem Gastautor Peter Galvin, Chief Strategy and Marketing Officer, Thales eSecurity

[datensicherheit.de, 08.08.2018] Inzwischen greift die digitale Transformation in vielen Bereichen, nicht zuletzt im Handel. Die Branche leidet unter massiven Angriffen von Cyberkriminellen unterschiedlicher Couleur, nicht zuletzt auch unter Angriffen, die von staatlicher Seite aus unterstützt werden. Das Ziel sind insbesondere persönliche Informationen der Kunden, Kreditkartendaten oder Bankinformationen.

Grenzen zwischen physischer Realität und digitaler Welt verschwinden

Die Grenzen zwischen physischer Realität und digitaler Welt haben sich längst verwischt und Kriminelle den digitalen Raum für sich erschlossen. Gleichzeitig erwarten Kunden heute schnellere Bestell- und Zahlungsabwicklungen und eine prompte Lieferung. Online wie Offline. Mit diesen Erwartungen hat sich auch die Struktur des Einzelhandels verändert. Gerade im Bereich Handel ist die digitale Transformation in vielen Bereichen relativ weit fortgeschritten. Allein schon, weil Händler sich bemühen den Ansprüchen ihrer Kunden gerecht zu werden. Das führt auf der anderen Seite zu Herausforderungen, die nicht zu unterschätzen sind. Es gilt die persönlichen Informationen von Kunden, Partnern und Lieferanten in diesem Prozess umfassend zu schützen. Man darf getrost die Gleichung aufstellen, je mehr neue Technologien wie Cloud, Big Data, IoT und mobile Zahlungsdienstleistungen angetreten sind die Benutzererfahrung zu verbessern, desto größer die Sicherheitsherausforderungen.

Herausforderung: Schutz krttischer und vertraulicher Daten

Mit der voranschreitenden Digitalisierung wird es nicht unbedingt leichter kritische und vertrauliche Daten umfassend zu schützen. Diese Einschätzung stützen auch die von Thales eSecurity in der Retail Edition des 2018 Thales Data Threat Report erhobenen Daten. Befragt wurden 1.200 IT-Sicherheitsmanager aus acht Ländern und vier der wichtigsten Branchen. Zusätzlich fasst der Bericht die Einschätzungen von 100 erfahrenen US-IT-Sicherheitsexperten aus dem Einzelhandel und 96 Experten weltweit zusammen.

Deckungsgleich mit anderen Erhebungen des Unternehmens bestätigt auch diese Umfrage, dass Unternehmen sensible Daten in technologisch fortschrittlichen Umgebungen (Cloud, Big Data, IoT) nutzen. Das gaben 95 % der US-Einzelhandelsunternehmen an. Ein klares Ziel für potenzielle Cyberkriminalität. Und obwohl der Handel in diesem Jahr bereits mehr als zuvor in die IT-Sicherheit investiert hat, musste die Branche zahlreiche Datenschutzverletzungen einräumen. In der Tat dokumentiert der Bericht eine massiv gestiegene Zahl von Vorfällen. 50 % der befragten US-Einzelhändler sind demnach in diesem Jahr bereits Opfer einer Datenschutzverletzung geworden. Diese Zahlen stehen in scharfem Kontrast zu den im letzten Jahr erhobenen Werten. Da waren es nur ganze

19 % der Befragten, die einen Datenschutzvorfall angegeben haben.

Einige der wichtigsten Ergebnisse des Reports:

• Der Einzelhandel beginnt ein umfassendes Verständnis für die Problematik zu entwickeln: Beinahe 95 % der befragten US-Handelsunternehmen räumten das Risiko eines potenziellen Datenschutzvorfalls ein. Schlimmer noch: beinahe die Hälfte von ihnen hält sich für extrem verwundbar (das ist ein Anstieg um 30 % verglichen mit den Vorjahreswerten).
• Der US-amerikanische Einzelhandel hat in Sachen Datenschutz noch einiges zu tun: Mehr als in anderen Regionen sind US-amerikanische Einzelhandelsunternehmen gewillt auch sensible Daten in neuartigen Technologieumgebungen (im Sinne der digitalen Transformation) zu speichern. 75 % der US-amerikanischen Unternehmen haben schon wenigstens einen Datenschutzvorfall in der Vergangenheit hinnehmen müssen, verglichen mit 60 % ihrer Kollegen weltweit. Und nur erschreckende 26 % nutzen heute schon Verschlüsselung in der Cloud.
• Verschlüsselung und Tokenisierung sind erste Wahl für neu entstehende Technologieumgebungen: 67 % der Befragten wollen aber noch in diesem Jahre Datenbank- und Dateiverschlüsselung einzuführen. Wenn es an die Mittel der Wahl speziell in Cloud-Umgebungen geht, sind das Verschlüsselung mit firmenweiter Schlüsselkontrolle und Schlüsselverwaltung beim Cloud Provider.

Erkenntnisse für den Handel

Was kann der Handel mit diesen Ergebnissen konkret anfangen? Zunächst sollten Unternehmen die eingesetzten Sicherheitstechnologien gründlich unter die Lupe nehmen. Traditionelle Endpunkt- und Netzwerksicherheitslösungen entsprechen nicht mehr den Erfordernissen der digitalen Welt. Deshalb sollte sich die Branche nach Partnern in der IT-Sicherheit umsehen, die servicebasierte Bereitstellung und Datenschutztechnologien anbieten, die sensible Daten selbst im Falle einer Datenschutzverletzung absichern. Zweitens, sollte sich die Einsicht durchsetzen, dass Compliance mehr ist als ein Haken im Kontrollkästchen. Die erhobenen Daten zeigen, dass über zwei Drittel der befragten Händler zwar nach wie vor an die Wirksamkeit behördlich kontrollierter Vorgaben, sprich Compliance, glauben. Dieselben Unternehmen mussten aber dennoch einen Datenschutzvorfall in Kauf nehmen. Verschlüsselung und Tokenisierung gehen einen Schritt weiter, weil sie die Daten selbst und sehr viel umfassender schützen als andere Methoden. Das gilt umso mehr für Cloud-/Multi-Cloud-Umgebungen und für die sich schnell verbreitenden mobilen Zahlungsdienste.

Datenschutzvorfälle sind vielleicht die neue Realität für jeden Einzelhändler. Trotzdem schützt eine umfassende, unternehmensweit umgesetzte Sicherheitsstrategie inklusive Verschlüsselung sensible Kundeninformationen in jedem Stadium, egal wo Daten erstellt, gespeichert oder geteilt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 08.08.2018
Datenschutzverletzung: Warum es danach auf die richtige Kommunikation ankommt#

datensicherheit.de, 16.07.2018
Digitale Assistenten: Verbraucher befürchten Datenmissbrauch

datensicherheit.de, 24.03.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen