Online-Shopping: Formjacking – Die neue unsichtbare Bedrohung im Cyberspace

Wenn Millionen Menschen online auf Schnäppchenjagd gehen, schnappt die Falle zu. Die Rede ist von der neuen unsichtbaren Bedrohung im Internet: Formjacking, auch als E-Skimming bekannt. Dabei erbeuten Hacker auf Onlineshops mit gekaperten Bezahlformularen Kreditkarten- und Bankdaten. Der ahnungslose Kunde und das betroffene Unternehmen bekommen davon erstmal gar nichts mit – alles verläuft wie gewohnt. Der Käufer erhält sein Produkt und das Unternehmen die Bezahlung, doch im Hintergrund greifen Cyberkriminelle die geheimen Zahlungsinformationen ab. Erst bei einem späteren Blick auf das Konto kommt das böse Erwachen: Unbekannte haben auf Kosten des Kartenbesitzers ausgiebig geshoppt.

Grafik: Hornetsecurity

Das BKA bestätigt im neuen Bundeslagebericht zum Thema Cybercrime, dass es bereits im Vorjahr während des Weihnachtsgeschäfts zu einem besonders starken Anstieg der Formjacking-Fälle kam. Auch das FBI gab kürzlich im Rahmen des U.S. Cyber Security Month 2019 eine Warnung insbesondere an kleine und mittelständische Unternehmen heraus, die Online-Kreditkarten-Zahlung anbieten. Diese würden häufig über weniger ausgeklügelte Abwehrmechanismen verfügen und seien somit besonders anfällig für Angriffe. Platzierte Malware bliebe auf deren Systemen zudem länger unentdeckt.

Doch auch größere Firmen geraten vermehrt ins Visier. Einer der spektakulärsten Fälle ereignete sich im September 2018, als British Airways aufgrund einer infizierten Buchungsseite über 380.000 Kreditkartendaten von Kunden abhandenkamen. Den Hackern dürfte diese Attacke mehrere Millionen US-Dollar eingebracht haben. British Airways wiederrum musste nicht nur einen immensen Vertrauensverlust hinnehmen, sondern sieht sich dank mangelhafter Sicherheitsmaßnahmen auch einer möglichen Strafe in Höhe von 230 Million US-Dollar ausgesetzt – der bisher größte Betrag seit Inkrafttreten der DSGVO.

 

Anzeige

Der Begriff Formjacking setzt sich aus »Online-Form« und »Hijacking« zusammen und beschreibt im Prinzip die digitale Variante des altbekannten Skimmings, bei dem Betrüger das Karteneinschubfach an Geldautomaten mit einem eigenen Kartenlesegerät präparieren. Der Pin-Code wird zeitgleich mit kleinen Kameras ausgespäht. Mit den gesammelten Daten kann die Bankkarte dupliziert werden.

Ganz ähnlich läuft ein Formjacking-Angriff im Cyberspace ab. Bei der zweistufigen Attacke wird zuerst eine Verkaufsseite im Netz ins Fadenkreuz genommen, um einen Schadcode — meist kleine verschleierte JavaScripts — auf der Seite zu platzieren. Laut FBI erreichen Hacker dies häufig durch Phishing und schadhafte Mails an Mitarbeiter oder über anfällige Drittanbieter, deren Anwendungen Zugang zur Serverlandschaft eines Unternehmens haben. Ist es gelungen, den schadhaften Code zu implementieren, können Kreditkartendaten in Echtzeit erfasst werden, sobald der Kunde diese auf der Shop-Website eingibt.

Mit den wertvollen Informationen gehen die Cyberkriminellen dann entweder selbst auf Shopping-Tour oder verkaufen sie im Darknet. Einer Studie der amerikanischen Kreditauskunftei Experian zufolge geht eine Kreditkartennummer mit Sicherheitscode für etwa 5 US-Dollar über den digitalen Ladentisch. Logindaten von Zahlungsdienstleistern wie Paypal bringen sogar um die 20 US-Dollar ein.

Anzeige

 

482 Artikel zu „E-Commerce Sicherheit“

Phänomen KI – Hype oder reale Chance für Herausforderungen in der Cybersicherheit?

Die aktuelle Flut an KI-fähigen Geschäftsmodellen und KI-Angeboten sorgt vielerorts für Irritationen, das sich nicht wenige KI-Initiativen – zumindest bis dato – primär als Marketing-Stunts erweisen. Nachdem bei 40 Prozent der selbsternannten »KI-Unternehmen« in Europa entlarvt wurde, dass in ihren Lösungen KI gar nicht zum Einsatz kommt*, ist es verständlich, dass die Versprechen vieler Unternehmen…

Cyber-Security: Sicherheitsprognosen für das Jahr 2020

  Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet.   Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits…

Streaming: Ein Cybersicherheitsrisiko

Es ist mittlerweile eine Tatsache: Die rasante Entwicklung der Streaming-Technologien zieht neue Internetnutzer mit schwindelerregenden Geschwindigkeiten an. Der digitale Konsum von Inhalten wie Musik, Videos, Serien und Filmen explodiert buchstäblich. Der Beweis dafür sind das Wachstum der großen offiziellen Plattformen wie Netflix und Amazon Prime Video sowie die Existenz zahlreicher illegaler Websites, die den kostenlosen…

Sicherheit in der Cloud: Darauf sollten Unternehmen heute achten

Die Cloud bietet zahllose Vorteile, auf die heute kaum mehr ein Unternehmen verzichten kann. Wer sich jedoch für den Schritt in die Cloud entscheidet, sollte sich im Vorfeld vor allem mit einem Thema auseinandersetzen: der Sicherheit. Die meisten denken dabei wohl zuerst an entsprechende Softwarelösungen. Wirkliche Sicherheit in der Cloud lässt sich jedoch nur über…

Eine gute Frage: Was wäre, wenn jeder für Sicherheitsvorfälle persönlich haften müsste?

Angesichts der Tatsache, dass das Cyberrisiko mittlerweile sogar als Bewertungskriterium von Rating-Agenturen aufgenommen wurde und im Falle von Datendiebstahl oder Datenverlust immer öfter damit gedroht wird, dass Mitarbeiter und Unternehmensleiter selbst für den Schadensfall haften, könnten Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder unzureichender digitaler Hygiene in den kommenden Jahren häufiger vorkommen.     Einige Fälle…

2019: Ausgaben für IT-Sicherheit steigen um 10 Prozent

Technologien und Lösungen zur Verbesserung der IT-Sicherheit sind gefragt wie nie: Im laufenden Jahr geben Unternehmen in Deutschland voraussichtlich 4,6 Milliarden Euro für Hardware, Software und Services im Bereich IT-Sicherheit aus – ein Allzeithoch und 10 Prozent mehr als im bisherigen Rekordjahr 2018. Für das Jahr 2020 ist ein weiteres Wachstum um 7,5 Prozent auf…

Augmented Reality und E-Commerce – neue Marketing-Potenziale für Videocontent

Bereits heute gibt es viele Unternehmen, die Augmented Reality (AR) im E-Commerce nutzen. Was aber denken Verbraucher über solche Anwendungen? Im Bereich von Unterhaltungsfernsehen, Sport TV oder Shopping zeigen gegenwärtig 40 Prozent der Konsumenten eine große Begeisterung für video-triggered AR. Dabei handelt es sich um eine Variante von AR, bei der der Nutzer seine Smartphone-…

Das Erkennen von IT-Sicherheitsbedrohungen ist Aufgabe des Managements

Die Zunahme und Komplexität an Angriffen erfordern mehr Fachkräfte für IT-Sicherheit. Die IT-Sicherheit in Unternehmen muss Aufgabe des Managements und der Führungsetage werden. Das fordern die IT-Sicherheitsexperten der PSW GROUP: »In Deutschland mangelt es an Fachkräften, während die Angriffe auf sowie die Bedrohungen für die IT-Sicherheit weiter steigen. Die Chef-Etage muss deshalb mit anpacken, denn…

IT und Sicherheit im Einklang – engerer Austausch zwischen CIO und CISO

In Unternehmen gerät viel in Bewegung, wenn neue Technologien zur Schaffung von Geschäftsvorteilen eingeführt werden, denn: Oft muss ein Spagat zwischen Sicherheit und Performance gelingen. Diese Entwicklung hat ihre Wurzeln in den sich verändernden Rollen des CIO und des CISO sowie in der strategischen Natur ihrer Zusammenarbeit. Für Führungskräfte kann die Art und Weise, wie…