Schutzprogramme, Sicher & Anonym, Verschlüsselung & Datensicherheit

Neue Web-Skimming-Taktik

Cyberkriminelle nutzen Google Analytics, um Zahlungsdaten von Nutzern zu stehlen - Opfer in Europa sowie Nord- und Südamerika entdeckt

Die Experten von Kaspersky haben eine neue Methode von Web-Skimming zum Diebstahl persönlicher Zahlungsinformationen bei Nutzern von Online-Shopping-Websites identifiziert. Durch die Registrierung von Google-Analytics-Accounts und das Einfügen des entsprechenden Tracking-Codes dieser Konten in den Quellcode der Webseite können Cyberkriminelle Kreditkartendaten von Nutzern sammeln.

Cyberkriminelle nutzen Web-Skimming, um Kreditkartendaten auf den Zahlungsseiten von Online-Shops zu stehlen. Dabei werden schädliche Code-Stücke in den Quellcode der Website eingeschleust, die die von den Nutzern eingegebenen Informationen wie Logins oder Kreditkartennummern sammeln und diese an eine vorgesehene Adresse senden. Um die Kompromittierung einer Webseite zu verschleiern, registrieren Angreifer üblicherweise Domains mit Namen, die populären Webanalysediensten wie Google Analytics ähneln. Der Administrator einer Website kann so nur schwierig erkennen, dass die Seite kompromittiert wurde. Beispielsweise kann eine Website mit dem Namen "googlc-analytics[.]com" aus Versehen leicht als legitime Domain erachtet werden.

Neue Strategie zur Verschleierung von Angriffen entdeckt

Kaspersky-Forscher haben kürzlich jedoch eine bisher noch unbekannte Technik von Web-Skimming-Angriffen entdeckt. Anstatt die Daten an externe Accounts zu senden, leiteten die Angreifer diese an offizielle Google-Analytics-Konten weiter. Nach der Registrierung bei Google Analytics mussten die Cyberkriminellen nur noch die Tracking-Parameter der Konten so konfigurieren, um die Tracking-ID zu erhalten. Anschließend fügten sie den bösartigen Code zusammen mit der Tracking-ID in den Quellcode einer Website ein, so dass sie Daten über die Besucher sammeln und diese direkt an die Google-Analytics-Konten senden konnten. Da die Daten bei dieser Vorgehensweise nicht an eine unbekannte Drittanbieter-Quelle weitergeleitet werden, können Administratoren nur schwer feststellen, dass die eigene Website kompromittiert wurde. Denn bei der Untersuchung des Quellcodes sieht es so aus, als ob die Seite mit einem offiziellen Google-Analytics-Konto verbunden ist - eine gängige Praxis bei Online-Shops.

Effektive Verschleierungstechnik

Um ihre Attacken weiter zu verschleiern, setzten die Angreifer zudem eine gängige Anti-Debugging-Technik ein: Wenn der Administrator einer Website den Quellcode im Entwicklermodus überprüft, wird der schädliche Code nicht ausgeführt. Bisher konnten etwa zwei Dutzend Websites, die auf diese Weise kompromittiert wurden, identifiziert werden; darunter Shops in Europa sowie Nord- und Südamerika.

"Dies ist eine Technik, die wir noch nie zuvor gesehen haben und die besonders effektiv ist", kommentiert Victoria Vlasova, Senior Malware-Analystin bei Kaspersky. "Google Analytics ist einer der beliebtesten Webanalysedienste. Die überwiegende Mehrheit der Entwickler und Nutzer vertraut diesem. Deswegen erteilen ihnen Website-Administratoren häufig die Rechte, Nutzerdaten zu sammeln. Dadurch ist es schwierig, Kompromittierungen mit schädlichem Code innerhalb von Google-Analytics-Konten zu identifizieren, so dass diese leicht übersehen werden können. Administratoren sollten daher nicht davon ausgehen, dass Drittanbieter-Eingaben innerhalb des Codes legitim sind, nur weil es sich um eine vermeintlich seriöse Quelle handelt."

Kaspersky hat Google über die neue Technik informiert; Google hat bestätigt, dass in die Erkennung von Spam investiert wird.

Weitere Informationen

Weitere Informationen zur entdeckten Web-Skimming-Technik gibt es hier 

Unternehmen sichern

Automobilbranche im Fokus

it-sa 2021

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben