Web-Skimming über Jahre aktiv: Versteckter Angriff auf Online-Checkouts : Seit 2022 späht eine Magecart-Kampagne Kreditkartendaten direkt in Zahlungsformularen aus
Unbemerkt und technisch ausgefeilt: Eine langfristige Web-Skimming-Kampagne kompromittiert seit Jahren Checkout-Seiten. Sicherheitsanalysten zeigen, wie Angreifer Zahlungsformulare manipulieren, Schutzmechanismen umgehen und sensible Kundendaten systematisch abgreifen.
Cybersicherheitsforscher haben eine groß angelegte Web-Skimming-Kampagne aufgedeckt, die bereits seit Januar 2022 aktiv ist und gezielt Online-Shops angreift. Betroffen sind insbesondere Händler, die Zahlungsdienste großer Netzwerke wie American Express, Mastercard, Diners Club, Discover, UnionPay, oder JCB einsetzen. „Unternehmen, die Kunden dieser Zahlungsanbieter sind, sind am ehesten betroffen“, heißt es in einem aktuellen Bericht von Silent Push.
Digitale Skimmer im Verborgenen
Bei sogenannten digitalen Skimming-Angriffen kompromittieren Angreifer legitime E-Commerce-Websites, um bösartigen JavaScript-Code einzuschleusen. Dieser Code wird direkt im Browser der Kunden ausgeführt und sammelt Kreditkartendaten sowie weitere persönliche Informationen während des Bezahlvorgangs. Diese Angriffsklasse ist unter dem Begriff Magecart bekannt, der ursprünglich eine lose Gruppe von Cyberkriminellen bezeichnete, die gezielt Magento-Websites attackierten, später jedoch ihre Methoden auf andere Plattformen ausweiteten.
Tarnung durch Hosting-Infrastruktur
Silent Push stieß auf die Kampagne im Zuge der Analyse einer verdächtigen Domain, die mit dem sanktionierten Bulletproof-Hosting-Anbieter Stark Industries in Verbindung stand. Dessen Infrastruktur wird inzwischen unter dem Namen THE Hosting weiterbetrieben, kontrolliert von dem niederländischen Unternehmen WorkTitans B.V., offenbar mit dem Ziel, bestehende Sanktionen zu umgehen.
Die untersuchte Domain cdn-cookie.com hostet stark verschleierte JavaScript-Dateien wie recorder.js oder tab-gtm.js. Diese werden unauffällig von kompromittierten Webshops eingebunden und dienen als Einstiegspunkt für das Skimming der Zahlungsdaten.
Technische Raffinesse statt Massenangriff
Der eingesetzte Skimmer ist darauf ausgelegt, möglichst lange unentdeckt zu bleiben. Dazu prüft er den Document Object Model- (DOM)Baum der Webseite auf das Element wpadminbar. Dieses Element wird in WordPress angezeigt, wenn Administratoren angemeldet sind. Wird es erkannt, entfernt sich der Skimmer selbst von der Seite. Jede Interaktion mit der Webseite triggert erneut einen Ausführungsversuch, solange keine administrative Sitzung erkannt wird.
Darüber hinaus analysiert der Schadcode, ob Stripe (weltweit genutzter Zahlungsdienstleister) als Zahlungsoption aktiv ist. Ist dies der Fall und existiert noch kein entsprechender Marker im lokalen Speicher des Browsers, wird ein gefälschtes Stripe-Zahlungsformular angezeigt. Dieses ersetzt das originale Formular durch eine manipulierte Benutzeroberfläche und verleitet Opfer dazu, Kreditkartennummer, Ablaufdatum und Kartenprüfnummer einzugeben.
„Da das Opfer seine Kreditkartendaten in ein gefälschtes Formular eingegeben hat und nicht in das echte Stripe-Zahlungsformular, wird auf der Zahlungsseite eine Fehlermeldung angezeigt“, erläutert Silent Push. „Dadurch sieht es so aus, als hätte der Nutzer seine Zahlungsdaten lediglich falsch eingegeben.“
Datenabfluss und saubere Spuren
Neben Zahlungsdaten erfassen die Angreifer auch Namen, Telefonnummern, E-Mail-Adressen und Lieferanschriften. Die gesammelten Informationen werden per HTTP-POST-Anfrage an einen externen Server unter der Domain lasorie.com übertragen. Anschließend entfernt der Skimmer sämtliche Spuren, stellt das originale Zahlungsformular wieder her und markiert das Opfer im lokalen Speicher, um eine erneute Ausführung zu verhindern.
„Dieser Angreifer verfügt über fortgeschrittene Kenntnisse der inneren Funktionsweise von WordPress und integriert sogar weniger bekannte Funktionen in seine Angriffskette“, so Silent Push.
Gefahr bleibt lange unsichtbar
Der Fall zeigt eindrucksvoll, wie effektiv moderne Web-Skimming-Kampagnen arbeiten. Statt auf „laute“ Angriffe setzen die Täter auf technische Präzision, Tarnung und Geduld. Für Betreiber von Online-Shops bedeutet das: Klassische Sicherheitsmaßnahmen reichen nicht aus. Ohne kontinuierliche Überwachung von Skripten, Integrationen und Zahlungsprozessen bleiben solche Angriffe oft über Jahre unentdeckt.