Illustration: Absmeier, Stevepb

E-Commerce und Einzelhändler sind in diesem Jahr einem erheblichen und erhöhten Risiko ausgesetzt. Der Übeltäter: Magecart-Angriffe, die rund um die Weihnachtszeit stattfinden. Anbieter von Website-Plugins sind der Ursprung einer umfangreichen, unkontrollierten und durchlässigen Lieferkette. Dies betrifft die meisten Websites von Online-Einzelhändlern.

Die durchschnittliche Website eines Online-Einzelhändlers verfügt über 39 bis 40 externe Quellen für Javascript, CSS-Code nicht eingerechnet. In den meisten Organisationen verfolgt niemand, wer diese Quellen hinzugefügt hat oder warum und durch welchen Überprüfungsprozess – wenn es überhaupt einen solchen Prozess gibt.
Das Ökosystem auf Website-Ebene wird kontinuierlich erweitert und entwickelt eine umfangreiche Lieferkette, deren Existenz unbekannt ist. Dieses Problem ist weitaus größer, als es der Inhaber der Domain allein bewältigen kann.
Schwachstellen-Scans erfassen nicht jede Art von Injektionsangriffen, die Magecart gedeihen lassen.
Von den vier Injektionstechniken für bösartigen Code werden drei über Lieferketten und nur eine durch eine direkte Code-Injektion durchgeführt.
Laufende Pen-Tests von Websites und die Überprüfung des Quellcodes sind dringend erforderlich. Allerdings übernehmen Website-Entwickler von Drittanbietern diese Verantwortung oft nicht. Dabei geht es nicht um ihren Ruf, sondern um die Marke und das Image des Website-Eigentümers.

Beispiele für Plug-ins, die viele der weltweit führenden Online-Einzelhandelsseiten für Code-Injektion öffnen, sind

Einkaufswagen wie der beliebte Magento-Einkaufswagen, eine Open-Source-E-Commerce-Plattform: Wenn Plugins wie »Bewerten Sie Ihren Kauf« auf Zahlungsseiten erscheinen, sind sie Vehikel für Javascript-Injektion.
Anzeigenserver: Anzeigen werden nur schwach kontrolliert und lassen sich zur Code-Injektion missbrauchen.

Magecart ist im Jahr 2020 eine größere Bedrohung als je zuvor, und zwar aus den folgenden Gründen:

aufgrund der Pandemie und der Lockdowns kaufen eine höhere Anzahl an Verbrauchern online ein. Damit ist das Einkaufvolumen höher als je zuvor
um während der Pandemie neue Online- und Bordstein-Dienste möglichst schnell einzuführen, wurde eine Vielzahl neuer Plug-ins und APIs hinzugefügt, wodurch neue potenzielle Schwachstellen entstanden.

Der Umstieg auf Krypto-Zahlungen wird die Anfälligkeit durch Magecart nicht reduzieren. Der Masad Stealer ist beispielsweise ein Angriff auf den Browser des Opfers. Wenn die Informationen des Angegriffenen eingegeben werden, der Lösegeld zahlen soll, ersetzt der Cyberkriminelle diese durch seine eigenen und die ausgehende Zahlung wird an ihn weitergeleitet.

Für die meisten traditionellen Unternehmen mit einer Online-Präsenz hat die Website nicht die oberste Priorität.

Staaten lassen sich auf Magecart-artige Angriffe ein, um Ausweise, Sozialversicherungsnummern und andere persönliche Informationen zu stehlen.

Lösungsschritte

Sub Resource Integrity (SRI) stellt sicher, dass die Inhalte nicht versehentlich bearbeitet werden. Der Grund: Häufig bearbeitet eine Reihe von Anwendern die meisten Sites, zum Beispiel Content Delivery Networks.
Content Security Policies: Richtlinien, die von Browsern und Webservern unterstützt werden und die signalisieren: »Dies sind die einzigen Domänen-Namen, von denen sich ausführbare Skripte in meinem Namen abrufen lassen.« Im Code des Einzelhändlers sollten die Regeln nur wenige genehmigte Domänen zulassen. Dies schließt eine Reihe von Schlupflöchern, die Magecart nutzt, um Javascript zu infiltrieren.
Unternehmen müssen auch alle externen E-Commerce-Anbieter und Werbetreibende, mit denen sie zusammenarbeiten, identifizieren und sicherstellen, dass diese kontinuierliche Selbstbewertungen und Audits durchführen.

1. Der beste Weg ist, den Code von einem vertrauenswürdigen Dritten prüfen zu lassen.
2. Um Lieferketteninjektionen zu vermeiden, muss das Unternehmen diesen Drittanbieter-Code wenn möglich selbst hosten und nicht auf Empfehlungen hereinfallen. Darüber hinaus sollten IT-Teams regelmäßig die entsprechenden Security-Patches aufspielen und die Anwendungen damit auf dem neuesten Stand halten.
3. Kontinuierlich alles testen, zum Beispiel den eigenen Javascript-Code in den Browser injizieren und untersuchen, was geschieht. Es gibt entsprechende Werkzeuge, um dies zu überprüfen.
4. Scanner benötigen Zugang zu kritischen Strömen wie dem virtuellen Einkaufswagen.
5. Javascript-Virtualisierung – Unternehmen sollten die Leistung im Auge behalten. Verzögerungen beeinflussen die Unternehmensziele negativ.

Die größte Herausforderung ist jedoch eine ganz andere: die Menschen selbst. Nicht der Anwender oder Verbraucher, sondern die Organisationen selbst. Sie sehen die wachsende Anzahl nicht verwalteter Plug-ins von Drittanbietern nicht als Schwachstelle an – und damit besteht das Problem weiterhin.

Weihnachtstipps für Verbraucher

Verbraucher sollten sich nicht auf jeder Website registrieren – sie müssen Ihre PII oder Zahlungsdaten dort nicht hosten.
Zweimal darüber nachdenken, sich über Google oder ein Social-Media-Konto anzumelden – sie verraten viel mehr Daten, als viele gerne weitergeben würden.
Zu dieser Jahreszeit ist es schwierig, sich an jede Website zu erinnern, die genutzt wurde. Anwender sollten aber versuchen, den Überblick über die Seiten zu behalten, die sie zum ersten Mal oder nur sehr selten nutzen. Ein weiterer Tipp: Immer die Kreditkartendaten im Auge behalten.

Mounir Hahad, Head of Juniper Threat Labs bei Juniper Networks

299 Artikel zu „Angriffe E-Commerce“

NEWS | TRENDS SECURITY | E-COMMERCE | TRENDS E-COMMERCE | TRENDS 2019 | IT-SECURITY

E-Commerce: Bad-Bot-Angriffe auf dem Vormarsch

30. September 2019

Der Bericht mit dem Titel »How Bots Affect E-Commerce« wurde vom Imperva Bot Management Threat Research Team (ehemals Distil Research Lab) entwickelt und stellt die erste branchenspezifische Studie über die Auswirkungen von Bad Bots auf die E-Commerce-Branche dar. Das Team analysierte im Juli 2019 16,4 Milliarden Anfragen aus 231 Domänen im Bereich E-Commerce. Das Ergebnis:…