BLOG

Das Magecart-Chaos

F5 Miniaturansicht
F5
Veröffentlicht am 01. Juli 2019

Der Sommer steht vor der Tür und mit Grillfesten, Baseballspielen und Spaß im Garten können Sie sich schon bald fragen, was im letzten Jahr die häufigste Ursache für Sicherheitsverstöße im Einzelhandel, im Technologiesektor und in der Produktion war. Laut F5 Labs ist es Magecart .

Was ist Magecart? „Magecart“ ist eigentlich ein Begriff, der einer Gruppe von Cybercrime-Einheiten gegeben wurde. Dafür sind mindestens ein Dutzend Gruppen verantwortlich, die jeweils ihr eigenes Spezialgebiet haben. Beispielsweise ist Gruppe 5 in den Ticketmaster-Angriff im Jahr 2018 verwickelt. Allerdings gibt es diese Art von Angriffen bereits seit 2014, beginnend mit Gruppe 1.

Die Gruppe begann damit, anfällige Server auszunutzen oder Warenkorbseiten zu kompromittieren. Sie würden Inhalte, Code und Skripte mit ihrer eigenen Schadsoftware ändern, um Kreditkarten- und persönliche Daten zu stehlen.

Sie sind inzwischen so weit fortgeschritten, dass sie über einen Webcode-Injection-Angriff, der über Werbedienste von Drittanbietern ausgeführt wird, Zahlungsinformationen auslesen können. Angreifer kompromittieren einen Werbedienst und schleusen schädlichen Code ein. Die kompromittierte JavaScript-Bibliothek wird dann auf die E-Commerce-Website geladen, die vom Anzeigendienst bereitgestellt wird. Während Kunden ihre Kreditkarteninformationen eingeben, arbeitet der Skimmer im Hintergrund und stiehlt die Daten. Wenn das einmal erfasst ist, kennen Sie das Vorgehen: Es wird auf einem Server gespeichert und zurückkommuniziert, geht an illegale Verkäufer/Käufer, die entweder die Ware kaufen oder einen Rohling neu bedrucken, und Sie haben keine Ahnung, was passiert ist.

Ticketmaster (wie bereits erwähnt), New Egg, Sotheby’s und British Airways sind alle Opfer geworden. Im Fall von Ticketmaster war es zwar kein direkter Angriff auf das Unternehmen, jedoch war der Drittanbieter kompromittiert. Das für Ticketmaster erstellte benutzerdefinierte JavaScript-Modul wurde durch den digitalen Skimmer-Code ersetzt. Aber sie waren nicht die einzigen. Hunderte von Websites wurden auf diese Weise kompromittiert.

Durch die Kompromittierung von Systemen Dritter kann man sich leicht Zugriff auf ein Ziel verschaffen. Oft handelt es sich dabei um kleinere Unternehmen mit weniger Sicherheitsebenen. Und sie haben direkten Zugriff auf das Ziel. Erinnern Sie sich an die Tage, als Angriffe über eine Backend-Netzwerkverbindung erfolgten, die nicht richtig segmentiert oder durch eine Authentifizierung gesichert war? Irgendwie das Gleiche, nur dass es jetzt digitale Anzeigen sind. Überlassen Sie die Lieferung jemand anderem.

Das Skimmen digitaler Karten ist für Kriminelle attraktiv, da es eine hohe Erfolgswahrscheinlichkeit bietet und relativ einfach ist. Andere Angriffe erfordern für den Erfolg Dinge wie Malware, eine direkte Kompromittierung oder sogar Social Engineering. Es erfordert Zeit, Mühe und manchmal auch Fachwissen. Und die Erfolgsquote ist im Vergleich zu Magecart geringer. Warum nicht den einfachen Griff mit hohem Gewinn wählen?

Der zweite Grund für seinen Erfolg liegt darin, dass es für den Kunden fast unmöglich ist, es zu erkennen. Während Sie voller Aufregung Ihre Zahlungsinformationen für den kostenlosen Versand eingeben, schwebt der Skimmer unsichtbar über dem Feld, um Ihre Daten abzugreifen. Traditionell waren Skimmer physische „Zusätze“ zu Dingen wie Geldautomaten, Zapfsäulen und Kassenkiosken. Es könnte sich dabei um etwas handeln, das den eigentlichen Einsatz bedeckt, oder um eine dünne Membran, die sich in die Maschine einfügt. Sie können diese physischen Bedrohungen abwehren, indem Sie genau hinschauen, wo Sie Ihre Karte einführen, oder Ihren Finger über den Schlitz ziehen, um alles Ungewöhnliche zu spüren. Im digitalen Fall ist es praktisch unsichtbar. Kein Wunder, dass Injection-Angriffe weiterhin ganz oben auf der OWASP Top 10 stehen.

Die Angreifer iterieren ständig ihren Code, um einer Entdeckung zu entgehen. Verschleierung, Verschlüsselung und sogar die Störung und Deaktivierung anderer Software zum Skimmen von Kreditkarten, die möglicherweise bereits auf der Site ausgeführt wird. In einem Fall bereinigte das Skript außerdem ständig die Konsolenmeldungen des Browser-Debuggers, um eine Erkennung und Analyse zu verhindern. Das Skript von Gruppe 12 geht laut TrendMicro sogar so weit, die URL auf Schlüsselwörter wie „Abrechnung“, „Kasse“ und „Kauf“ zu überprüfen. Sie haben sogar eine Lokalisierung vorgenommen, indem sie das französische Wort für Korb, „panier“, und das deutsche Wort für Kasse, „kasse“, aufgenommen haben. Sobald das Skript die Zielzeichenfolgen erkennt, beginnt es mit dem Scannen und für jedes Opfer wird zur Identifizierung eine Zufallszahl generiert. Sobald das Opfer den Browser schließt oder aktualisiert, wird ein weiteres JavaScript-Ereignis ausgelöst, das die erfassten Zahlungsdaten, den E-Tag (Zufallszahl) und die E-Commerce-Domäne an einen Remote-Server sendet.

Laut RiskIQ stellt Magecart eine große aktive Bedrohung dar, die größer sein könnte als die Sicherheitsverletzungen an den Kassen von Target oder Home Depot. Obwohl sich Forscher dieses Risikos zunehmend bewusst werden, bedeutet das nicht, dass sie in der Lage sein werden, jeden Angriff zu erkennen. Die Verbrecher sind clever.

Wie bei vielen Sicherheitsbedrohungen ist ein mehrschichtiger bzw. tiefgreifender Verteidigungsansatz von entscheidender Bedeutung. Natürlich ist es wichtig, alle Server zu patchen und sensible Systeme zu segmentieren. Außerdem muss sichergestellt werden, dass alle Erweiterungen und Systeme von Drittanbietern auf dem neuesten Stand sind. Außerdem muss sichergestellt werden, dass die über ein CDN (externe Quelle) oder andere Domänen bereitgestellten Inhalte und Dateien nicht verändert oder manipuliert wurden. Und sicherlich kann eine WAF mit Signaturen oder Regelsätzen hilfreich sein, die sich auf bekannte Schwachstellen konzentrieren, die von Magecart ausgenutzt werden.

Diese Angriffe entwickeln sich ständig weiter, werden immer raffinierter und suchen sich neue Opfer. Und Supply-Chain-Angriffe verschaffen Betrügern Zugriff auf Tausende von Websites. Auf einmal.

Schließlich ist jeder Verstoß eine gute Lehre, Kreditkarten-, Bank- und Finanzauszüge regelmäßig auf ungewöhnliche Aktivitäten zu überprüfen. Sehen Sie es, melden Sie es.

Wenn Sie einen tieferen Einblick in Magecart und andere Injektionsschwachstellen wünschen, besuchen Sie F5 Labs und lesen Sie deren Application Protection Report 2019, Episode 3: Web-Injection-Angriffe werden bösartiger .