Kreditkartenklau/-skimming bei 6.000 Online-Shops

Warnung vor der Verwendung von Kreditkarten zum Bezahlen von Online-Bestellungen. Sicherheitsforscher berichten, dass Cyber-Kriminelle verstärkt Online-Shops angreifen, um dort Kreditkartendaten zu erbeuten und für eigene Zwecke zu nutzen.


Anzeige

Die Info, dass 5.900 Online-Shops gefunden wurden, auf denen Kreditkarten per "Online-Skimming" abgezogen werden, stammt von einem Sicherheitsforscher mit dem Alias gwillem. Er hat sowohl einen Beitrag zum Thema als auch eine Liste mit kompromittierten Online-Shops (getestet in einem Zeitraum von 48 Stunden) veröffentlicht. In der Liste finden sich auch fünf Shops mit .de-Domain-Endungen.

Online-Skimming – ich bezahle mit deiner Kreditkarte

Es gab mal eine Werbung von Visa "zahlen mit ihrem guten Namen". Den Spruch haben Online-Kriminelle umgewandelt und benutzen die Kreditkartendaten Dritter, um Online-Einkäufe auf deren Rechnung zu kaufen.

Der Vorgang gleicht dem klassischen Skimming, bei dem die Kartendaten an Bankautomaten von Kriminellen kopiert werden. Beim Online-Skimming greifen die Cyber-Ganster den Online-Shop über Sicherheitslücken der Shop-Software oder Server an. Dann wird ein Schadcode (aktuell in Form eines JavaScript) auf dem Server hinterlegt, der die Kreditkarteneingaben des Kunden, die dieser zur Bezahlung des Einkaufs eingibt, einfach kopiert und an den Kriminellen übermittelt.

Die Kreditkartendaten werden in Untergrundforen zum Preis von ca. 30 US $ pro Karte gehandelt. Wer Zugriff auf diese Kartendaten hat, kann dann Online-Einkäufe tätigen. Online-Skimming ist dabei recht neu. Laut gwillem begann er die Untersuchung zum Thema im November 2015 und fand auf Anhieb 3.501 befallene Online-Shops. Von Zeit zu Zeit wiederholt er seine Untersuchungen und kommt im September zu ernüchternden Ergebnissen:

  • November 2015: 2.501 befallene Online-Shops.
  • März 2016: 4.476 befallene Online-Shops (+ 28 %).
  • September 2016: 5.925 befallene Online-Shops (+ 69 %).

Die Zahl der erfolgreichen Angriffe nimmt also rapide zu, auch wenn 631 befallene Online-Shops mittlerweile von der Infektion gesäubert wurden. Die Liste der Online-Shops ist bunt gestreut, vom Audi-Händler über Behördenseiten in Malaysia bis hin zu Schuh-Verkäufern oder Musikern.

Kein Problembewusstsein bei Shop-Betreibern

Und noch beunruhigender: gwillem informierte die Online-Shop-Betreiber über die Infektion. Die Rückmeldung war teilweise wenig ermutigend:

We don't care, our payments are handled by a 3rd party payment provider

Thanks for your suggestion, but our shop is totally safe. There is just an annoying javascript error.

Our shop is safe because we use https

Die obigen drei Antworten zeigen, dass den Shop-Betreibern das Thema egal ist oder dass diese keine Ahnung von der Materie haben. Deckt sich mit meinen Erfahrungen, wenn ich auf kompromittierte Internetangebote stoße und deren Betreiber über das Problem informiere. Meist kommt keine Antwort oder es wird abgewiegelt.

Dabei wäre es einfach, dem Problem durch regelmäßige Updates der Shop-Software zu entschärfen. Die Betreiber dürften erst dann in die Pushen kommen, wenn Kreditkartenanbieter wie Visa oder Mastercard die Lizenz zur Abwicklung von Kreditkartenzahlungen wiederrufen.


Anzeige

(Quelle: gwillem)

Die andere Möglichkeit bestände darin, die kompromittierten Shops in die Chrome Safe Browsing blacklist aufzunehmen. Dann würde der Shop-Besucher eine fette Warnung iM Chrome-Browser angezeigt bekommen (siehe obiges Foto). Der Sicherheitsforscher hat Google eine Liste der kompromittierten Shops übermittelt. Bisher scheint Google das Thema aber auch zu verschleppen, da nur eine kleine Anzahl an Shops bisher im Chrome-Browser so geblockt wird.

Aus dieser Sichtweise kann ich nur empfehlen, im Internet auf die Angabe von Kreditkartendaten zu verzichten. Das ist auch noch aus einem anderen Grund sinnvoll: Wer Daten im Web eingibt, verliert die Kontrolle, wo und wie diese gespeichert und verwendet werden. Bei den zahlreichen Hacks der letzten Jahre wurden neben Benutzer- beispielsweise auch Kreditkartendaten erbeutet. Und die Daten waren teilweise unverschlüsselt. (via)

Ähnliche Artikel:
Nachlese: Phishing-Angriff gestoppt  ….
WordPress-Plugin generiert Suchmaschinen-Spam
Nachgang zu 'WordPress-Plugin generiert Spam' – deutsche Webseiten betroffen
Sicherheitssplitter 5. September 2016


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Kreditkartenklau/-skimming bei 6.000 Online-Shops

  1. Ralph sagt:

    Lieber Günter,
    ich würde ja gern Deinen Ratschlag, die entsprechenden Shops in die Chrome Safe Browsing List einzutragen, aber ich nutze den Browser gar nicht. ;-)

    Und nun mal zum Topic:auch ich rutsche dann und wann mal über eine Webseite, bei der meine bevorzugte Antiviren Saftware Alarm schlägt. Ich setze mich dann hin, suche mir aus dem Domainrecord den Registrar-C und Admin-C raus und schreibe die höflich mit einer Frist an. Tut sich da nichts bis zum Ende der Frist, dann kann ich dem Betreiber der Webseite tatsächlich Voratz und damit eine Straftat unterstellen. Ich schreibe als nächstes den Hoster an und bereite die Mail an das für die TLD zuständige NIC vor. Letztere brauchte ich noch nie absenden, weil bislang der Hoster immer verdammt zügig reagiert hat.

    Jetzt kann ja manch einer sagen: ich habe besseres zu tun. Grundsätzlich sehe ich das aber erst einmal so: eine infizierte Webseite ist dem Betreiber selbst vielleicht gar nicht bekannt. Wieso soll ich dann nicht die 2 mal 5 Minuten meiner Zeit opfern, um jemanden über einen eventuell nicht bekannten Missstand zu informieren und damit zu helfen, die Verbreitung von Schadcode zu verringern? Wenn das jeder tun würde, wäre mit Sicherheit die Basis für die Verbreitung von Schadsoftware (und dazu zähle ich auch skimmende Scripts und sowas wie phishing-mails und phishing-sites) deutlich kleiner, als sie jetzt ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.