E-Commerce und Einzelhändler sind in diesem Jahr einem erheblichen und erhöhten Risiko ausgesetzt. Der Übeltäter: Magecart Angriffe, die rund um die Weihnachtszeit stattfinden. Bei so genannten Magecart-Angriffen werden durch einen injizierten Schadcode, heimlich Bank- oder Kreditkartendaten von Kunden gestohlen.
- Anbieter von Website-Plugins sind der Ursprung einer umfangreichen, unkontrollierten und durchlässigen Lieferkette. Dies betrifft die meisten Websites von Online-Einzelhändlern.
- Die durchschnittliche Website eines Online-Einzelhändlers verfügt über 39 bis 40 externe Quellen für Javascript, CSS-Code nicht eingerechnet. In den meisten Organisationen verfolgt niemand, wer diese Quellen hinzugefügt hat oder warum und durch welchen Überprüfungsprozess – wenn es überhaupt einen solchen Prozess gibt.
- Das Ökosystem auf Website-Ebene wird kontinuierlich erweitert und entwickelt eine umfangreiche Lieferkette, deren Existenz unbekannt ist. Dieses Problem ist weitaus größer, als es der Inhaber der Domain allein bewältigen kann.
- Schwachstellen-Scans erfassen nicht jede Art von Injektionsangriffen, die Magecart gedeihen lassen.
- Von den vier Injektionstechniken für bösartigen Code werden drei über Lieferketten und nur eine durch eine direkte Code-Injektion durchgeführt.
- Laufende Pen-Tests von Websites und die Überprüfung des Quellcodes sind dringend erforderlich. Allerdings übernehmen Website-Entwickler von Drittanbietern diese Verantwortung oft nicht. Dabei geht es nicht um ihren Ruf, sondern um die Marke und das Image des Website-Eigentümers.
- Beispiele für Plug-ins, die viele der weltweit führenden Online-Einzelhandelsseiten für Code-Injektion öffnen, sind
- Einkaufswagen wie der beliebte Magento-Einkaufswagen, eine Open-Source-E-Commerce-
Plattform: Wenn Plugins wie „Bewerten Sie Ihren Kauf“ auf Zahlungsseiten erscheinen, sind sie Vehikel für Javascript-Injektion. - Anzeigenserver: Anzeigen werden nur schwach kontrolliert und lassen sich zur Code-Injektion missbrauchen.
- Einkaufswagen wie der beliebte Magento-Einkaufswagen, eine Open-Source-E-Commerce-
- Magecart ist im Jahr 2020 eine größere Bedrohung als je zuvor, und zwar aus den folgenden Gründen:
- a) aufgrund der Pandemie und der Lockdowns kaufen eine höhere Anzahl an Verbrauchern online ein. Damit ist das Einkaufvolumen höher als je zuvor
- b) um während der Pandemie neue Online- und Bordstein-Dienste möglichst schnell einzuführen, wurde eine Vielzahl neuer Plug-ins und APIs hinzugefügt, wodurch neue potenzielle Schwachstellen entstanden.
- Der Umstieg auf Krypto-Zahlungen wird die Anfälligkeit durch Magecart nicht reduzieren. Der Masad Stealer ist beispielsweise ein Angriff auf den Browser des Opfers. Wenn die Informationen des Angegriffenen eingegeben werden, der Lösegeld zahlen soll, ersetzt der Cyber-Kriminelle diese durch seine eigenen und die ausgehende Zahlung wird an ihn weitergeleitet.
- Für die meisten traditionellen Unternehmen mit einer Online-Präsenz hat die Website nicht die oberste Priorität.
- Staaten lassen sich auf Magecart-artige Angriffe ein, um Ausweise, Sozialversicherungsnummern und andere persönliche Informationen zu stehlen.
Lösungsschritte
- Sub Resource Integrity (SRI) stellt sicher, dass die Inhalte nicht versehentlich bearbeitet werden. Der Grund: Häufig bearbeitet eine Reihe von Anwendern die meisten Sites, zum Beispiel Content Delivery Networks.
- Content Security Policies: Richtlinien, die von Browsern und Webservern unterstützt werden und die signalisieren: „Dies sind die einzigen Domänen-Namen, von denen sich ausführbare Skripte in meinem Namen abrufen lassen.“ Im Code des Einzelhändlers sollten die Regeln nur wenige genehmigte Domänen zulassen. Dies schließt eine Reihe von Schlupflöchern, die Magecart nutzt, um Javascript zu infiltrieren.
- Unternehmen müssen auch alle externen E-Commerce-Anbieter und Werbetreibenden, mit denen sie zusammenarbeiten, identifizieren und sicherstellen, dass diese kontinuierliche Selbstbewertungen und Audits durchführen.
- Der beste Weg ist, den Code von einem vertrauenswürdigen Dritten prüfen zu lassen.
- Um Lieferketteninjektionen zu vermeiden, muss das Unternehmen diesen Drittanbieter-Code wenn möglich selbst hosten und nicht auf Empfehlungen hereinfallen. Darüber hinaus sollten IT-Teams regelmäßig die entsprechenden Security-Patches aufspielen und die Anwendungen damit auf dem neuesten Stand halten.
- Kontinuierlich alles testen, zum Beispiel den eigenen Javascript-Code in den Browser injizieren und untersuchen, was geschieht. Es gibt entsprechende Werkzeuge, um dies zu überprüfen.
- Scanner benötigen Zugang zu kritischen Strömen wie dem virtuellen Einkaufswagen.
- Javascript-Virtualisierung – Unternehmen sollten die Leistung im Auge behalten. Verzögerungen beeinflussen die Unternehmensziele negativ.
- Die größte Herausforderung ist jedoch eine ganz andere: die Menschen selbst. Nicht der Anwender oder Verbraucher, sondern die Organisationen selbst. Sie sehen die wachsende Anzahl nicht verwaltetet Plug-ins von Drittanbietern nicht als Schwachstelle an – und damit besteht das Problem weiterhin.
Weihnachtstipps für Verbraucher
- Verbraucher sollten sich nicht auf jeder Website registrieren – sie müssen Ihre PII oder Zahlungsdaten dort nicht hosten.
- Zweimal darüber nachdenken, sich über Google oder ein Social-Media-Konto anzumelden – sie verraten viel mehr Daten, als viele gerne weitergeben würden.
- Zu dieser Jahreszeit ist es schwierig, sich an jede Website zu erinnern, die genutzt wurde. Anwender sollten aber versuchen, den Überblick über die Seiten zu behalten, die sie zum ersten Mal oder nur sehr selten nutzen. Ein weiterer Tipp: Immer die Kreditkartendaten im Auge behalten.
www.juniper.net.de