Viele Unternehmen weltweit greifen beim Aufbau von Online-Shops auf die dafür entwickelte Software Magento zurück. Darunter befinden sich zum Teil auch bedeutende Großunternehmen.
Vor kurzem ist es Kriminellen gelungen, tausende auf Magento basierende Online-Shops mit Skimming-Malware zu infizieren und so die Kreditkarten-Informationen vieler Nutzer zu stehlen.
Hintergründe der Magento-Attacken
Entdeckt wurde das Vorgehen der Angreifer von dem niederländischen Datenschutzexperten Willem de Groot. Er geht davon aus, dass derzeit rund 8.000 Online-Shops betroffen sind. Diese Zahl schwankt jedoch sehr stark, da einerseits täglich weitere Shops infiziert werden und andererseits viele Shop Betreiber bereits Gegenmaßnahmen ergriffen haben. Die durch die Angreifer verwendete Skimming-Malware ermöglicht ihnen, unbemerkt Zahlungsinformationen der Nutzer der Shops auszulesen. Denn die infizierte Software versendet die gewünschten Informationen an einen Server in Moskau.
Vorgehen der Angreifer
Laut de Groot sind die Attacken nicht auf Sicherheitslücken in der Software von Magento zurückzuführen. Die Angreifer verwenden sogenannte automatische Skripte. Dabei werden über einen längeren Zeitraum immer wieder verschiedene Nutzernamen/Kennwort-Kombinationen ausprobiert. Bei dieser Methode werden zum Teil mehrere hundert Millionen Optionen durchprobiert. Dieses Vorgehen nennt man auch Brute-Force-Methode. Sobald die Angreifer Zugang zu den Admin-Funktionen haben, wird ein Stück JavaScript-Code in die HTML Template des Shops integriert. Mit Hilfe dieses Codes werden dann die Eingaben der Nutzer mitgeschrieben und in Echtzeit auf den Server in Russland übertragen.
Doch damit nicht genug. Zusätzlich werden Einträge in die sogenannte cron-php-Datei vorgenommen. Dadurch wird die Shop-Software derart beeinflusst, dass sie in regelmäßigen Zeitabständen Schadcodes aus dem Internet lädt und dadurch die Zugangsdaten der Konten auf einen den Angreifern bekannten Wert ändert. Durch dieses Vorgehen bauen die Hacker Hintertüren ein, um sich auch nach dem Entfernen der Malware, weiterhin Zugang zu den Konten verschaffen zu können.
Wie erkennen Sie einen Angriff oder vermeiden eine Infizierung?
Ob Ihr Magento-Shop infiziert ist, erkennen Sie an einem bestimmten JavaScript-Code im Quellcode der Shop-Seiten:
<script type=“text/javascript“ src=“https://magentocore.net/mage/mage.js“></script>
Ist ihr Shop betroffen, sollten Sie diese Verweise sofort entfernen und die Cron-Routinen ihrer Magento-Installation nach Hintertüren durchsuchen. Darüber hinaus empfiehlt es sich zu überprüfen, ob die Passwörter der Admin-Zugänge geändert wurden. Ist dies der Fall, sollte in der Folge die Passwort-Stärke unbedingt erhöht werden. Als Spezialisten in den Bereichen Datenschutzrecht und IT-Sicherheit können wir Ihnen dabei helfen, weitere Vorkehrungen zur Absicherung ihres Online-Shops zu treffen.