Bedrohungsakteure, die hinter Web-Skimming-Kampagnen stehen, nutzen bösartigen JavaScript-Code, der Google Analytics- und Meta-Pixel-Skripte imitiert, um die Entdeckung zu umgehen.
„Dies ist eine Abkehr von früheren Taktiken, bei denen die Angreifer bösartige Skripte über die Ausnutzung von Schwachstellen in E-Commerce-Plattformen und Content-Management-Systeme (CMS) einschleusten, was diese Bedrohung für herkömmliche Sicherheitslösungen sehr schwer zu erkennen macht“, so das Microsoft 365 Defender Research Team in einem neuen Bericht.
Skimming-Angriffe, wie die von Magecart, werden mit dem Ziel durchgeführt, die Zahlungsinformationen der Nutzer/innen, wie z. B. Kreditkartendaten, die in Online-Zahlungsformulare auf E-Commerce-Plattformen eingegeben werden, abzufangen und zu exportieren, in der Regel während des Bestellvorgangs.
Dazu werden Sicherheitslücken in Plugins von Drittanbietern und anderen Tools ausgenutzt, um bösartigen JavaScript-Code in die Online-Portale einzuschleusen, ohne dass die Betreiber davon wissen.
So wie die Zahl der Skimming-Angriffe im Laufe der Jahre zugenommen hat, haben auch die Methoden zugenommen, mit denen die Skimming-Skripte versteckt werden. Letztes Jahr deckte Malwarebytes eine Kampagne auf, bei der böswillige Akteure PHP-basierte Web-Shells in Website-Favicons einbetteten, um den Skimmer-Code zu laden.
Im Juli 2021 deckte Sucuri eine weitere Taktik auf, bei der der JavaScript-Code in Kommentarblöcke eingefügt wurde und die gestohlenen Kreditkartendaten in Bildern und anderen Dateien versteckt wurden, die auf den angegriffenen Servern lagen.
Die neueste Verschleierungstechnik, die von Microsoft Overlap beobachtet wurde, ist eine Variante der oben erwähnten Methode, bei der bösartige Bilddateien, einschließlich normaler Bilder, verwendet werden, um ein PHP-Skript mit einem Base64-kodierten JavaScript einzubinden.
Ein zweiter Ansatz beruht auf vier Zeilen JavaScript-Code, die einer kompromittierten Webseite hinzugefügt werden, um das Skimmer-Skript von einem entfernten Server abzurufen, das „in Base64 kodiert und aus mehreren Strings verkettet ist.“
Außerdem werden verschlüsselte Skimmer-Skript-Domains in gefälschtem Google Analytics- und Meta Pixel-Code verwendet, um nicht aufzufallen und keinen Verdacht zu erregen.
Leider gibt es nicht viel, was Online-Käufer/innen tun können, um sich vor Web-Skimming zu schützen, außer dafür zu sorgen, dass ihre Browser-Sitzungen während des Bezahlvorgangs sicher sind. Alternativ können die Nutzer/innen auch virtuelle Kreditkarten erstellen, um ihre Zahlungsdaten zu schützen.
„Angesichts der zunehmend ausweichenden Taktiken, die bei Skimming-Kampagnen eingesetzt werden, sollten Unternehmen sicherstellen, dass ihre E-Commerce-Plattformen, CMS und installierten Plugins auf dem neuesten Stand der Sicherheitspatches sind und dass sie nur Plugins und Dienste von Drittanbietern aus vertrauenswürdigen Quellen herunterladen und nutzen“, so Microsoft.