Connect with us

Wonach suchst Du?

Security

Konzentrieren Sie sich auf die Client-Seite, um Ihr Unternehmen vor Magecart-Angriffen zu schützen

© SHUTTERSTOCK

Magecart bezieht sich auf ein Cyber-Kriminalsyndikat, das sich auf Cyber-Angriffe spezialisiert hat, bei denen digitale Kreditkarten durch Abschöpfen von Online-Zahlungsformularen gestohlen werden. Der jüngste Angriff, der im letzten Jahr in den Medien für Aufsehen sorgte, betraf den Fotohändler Focus Camera.

Deren Website wurde von Magecart-Angreifern gehackt, die einen bösartigen Code einschleusten, der die Zahlungskartendaten der Kunden stahl – das Skript wurde an der Kasse geladen, um die Rechnungsdaten zu erfassen und an den Server des Angreifers zu senden.

Focus Camera reiht sich damit in die wachsende Liste bekannter Unternehmen ein, die im letzten Jahr ähnlichen Angriffen zum Opfer gefallen sind (British Airways, Newegg, Macy’s), wobei in der Regel Hunderttausende von Kunden ihre Kartendaten gestohlen haben.

Beim Magecart-Kreditkarten-Skimming wird der Code des böswilligen Skimmers häufig bei Drittanbietern des Zielunternehmens eingefügt (was als webbasierte Lieferkettenangriffe bekannt geworden ist).

Die Angriffe auf British Airways, aber auch auf Equifax, Forbes und Tausende anderer Unternehmen erfolgten alle über bösartigen Code, der über Drittanbieter in die Unternehmenswebsites eingeschleust und dann in den Browsern der Nutzer ausgeführt wurde. Auf diese Weise ist die Website oder Webanwendung eines Unternehmens zur perfekten Bühne geworden, von der aus Kundendaten gestohlen werden können.

Nicht zu vergessen ist auch der enorme finanzielle Schaden für die angegriffenen Unternehmen. Nach dem Angriff auf British Airways wurde beispielsweise bekannt, dass das Information Commissioner’s Office (das für die Wahrung der Informationsrechte des Vereinigten Königreichs im öffentlichen Interesse zuständig ist) die Absicht hatte, British Airways (BA) wegen Verstößen gegen die DSGVO mit einer Geldstrafe in Höhe von 183,39 Millionen Pfund zu belegen.

BA bot zwar an, Kunden zu entschädigen, die infolge des Verstoßes einen finanziellen Schaden erlitten haben, räumte aber nie die Haftung für diesen Verstoß ein.

Der Reputationsschaden, der durch einen derartig aufsehenerregenden Angriff entstanden ist, lässt sich nur schwer berechnen, und es gibt Anzeichen dafür, dass Unternehmen, die sich um die Entschädigung der betroffenen Personen bemühen, eine Art Auszahlungsszenario à la PPI anstreben. Es steht also sehr viel auf dem Spiel.

Was können Unternehmen also angesichts solch groß angelegter Angriffe mit so weitreichenden Folgen tun?

Für Dich Empfohlen

Security

Wenn Sie die Aktualisierungen von Apple für iOS 16, iPadOS 16 und macOS Ventura verfolgt haben, wissen Sie bereits, dass das Unternehmen seine Sicherheit...

Security

Was würden Sie tun, wenn Sie Malware auf Ihrem iPhone entdecken? Ihr erster Instinkt könnte sein, das verdammte Ding auszuschalten, um bösartiges Schnüffeln zu...

Security

Unsere Online-Privatsphäre ist zunehmend bedroht. Regierungen auf der ganzen Welt fordern Hintertüren zur Verschlüsselung, die den Zugang zu persönlichen Daten ermöglichen würden. Anzeige Pools...

Security

Telefonhersteller bieten in der Regel zwei oder drei Jahre lang Software-Updates an und danach noch ein paar Jahre lang Sicherheits-Patches für ihre Spitzengeräte. Wenn...