Die vielen Möglichkeiten, wie Magecart Reiseseiten hacken kann

Von Fluggesellschaften über Hotelketten bis hin zu Aktivitätsaggregatoren hat die Reise- und Gastgewerbebranche ein Volltreffer für Magecart-Angriffe.

Zwei mittelgroße Hotelketten mit zusammen mehr als 180 Hotelanlagen wurden 2019 Opfer eines Magecart-Angriffs, als ein Drittanbieter von digitalen Marketingdiensten für beide Ketten, Roomleader, kompromittiert wurde. Roomleader bedient andere Hotelketten, daher ist es wahrscheinlich, dass andere Magecart-Angriffe unentdeckt blieben oder nie bekannt wurden.

An der Front der Fluggesellschaften erlitt British Airways einen bedeutenden Magecart-Angriff, der im Sommer 2018 gemeldet wurde und es Cyberkriminellen ermöglichte, Zahlungsinformationen von über 380.000 Kunden zu stehlen, die Flüge oder andere Reiseleistungen gekauft hatten.

Generell haben sich Magecart-Angriffe in den letzten zwei Jahren vermehrt. Seit 2019 haben Forscher über zwei Millionen Fälle von Magecart-Angriffen in freier Wildbahn identifiziert. Das Online-Reisesegment ist aufgrund der schieren Menge an Menschen, die Einkäufe tätigen, ein verlockendes Ziel. Vor der Pandemie hatte Euromonitor bis 2024 pro Jahr fast 1,5 Billionen US-Dollar an Online-Reisekäufen prognostiziert, was 52 % aller Reiseverkäufe entspricht.

Magecart ist der Name für eine wachsende Zahl von böswilligen Angriffen, die von verschiedenen Hackergruppen durchgeführt werden, die E-Commerce-Websites und mobile Apps, einschließlich derer von Reise- und Gastgewerbeunternehmen, mit Digital-Skimming-Angriffen angreifen.

Bei einem Magicart-Vorfall fügt ein Angreifer nicht autorisierten Schadcode in die Webanwendung eines Unternehmens ein. Der Code könnte in JavaScript-Code von Erstanbietern eingeschleust werden, wenn der Hacker irgendwie Zugriff auf die Codebasis der Website erhält; Das ist beim Angriff von British Airways passiert.

Alternativ könnte der Code in JavaScript-Dienste von Drittanbietern oder in Open-Source-Bibliotheken eingefügt werden, die heute zusammen typischerweise über 70 % des gesamten Website-Codes ausmachen. Der bösartige Code kann auf Elemente auf einer Webseite zugreifen oder diese ändern und Benutzerdaten einschließlich Kreditkartennummern überfliegen. Der modifizierte Code sendet dann die gestohlenen Daten an einen Server irgendwo auf der Welt. Forscher haben Dutzende verschiedener Arten von JavaScript-Digital-Skimming-Exploits identifiziert, die unter dem Dach von Magecart zusammengefasst werden könnten.

Dieser toxische Angriffstyp hat zu Schäden in Milliardenhöhe und Bußgeldern für Reisewebsites geführt: Die britische Regierung hat British Airways eine Geldstrafe von 27,5 Millionen Dollar auferlegt, weil sie einen Magecart-Angriff über zwei Wochen zugelassen und ihre Website-Besucher und Kunden nicht ausreichend geschützt hat.

Der Schutz vor Magecart-Angriffen ist außerordentlich schwierig, da es so viele Orte gibt, an denen ein Angreifer Code verbergen könnte, und so viele Möglichkeiten, nicht autorisierte Codeänderungen zu verbergen. Schauen wir uns an, wie beliebte Websites aufgebaut sind und wie die verschiedenen Komponenten zu unterschiedlichen potenziellen Angriffsflächen für Magecart werden könnten. (Dies sind Beispiele und bedeuten nicht, dass diese Websites oder Komponenten kompromittiert wurden.)

Der Drittanbieter

Dies ist die Seite eines Online-Reisebüros, das Aktivitäts- und Reisesuche sowie Buchungen auf globaler Basis anbietet. Hier ist ein Screenshot des Einkaufswagens der Website mit DevTools (oder „Inspector Mode“), um den Websitecode anzuzeigen. Der blaue Balken hebt einen JavaScript-Aufruf zu FlipDesk hervor, einem Kundendienstmodul, das auf dieser Seite sowie auf Seiten ausgeführt wird, auf denen Zahlungsdaten angefordert werden. Wenn FlipDesk kompromittiert wäre, würde der Website-Eigentümer Schwierigkeiten haben, einen Unterschied zu bemerken, und die Magecart-Banden wären in der Lage, eine riesige Menge an Zahlungsdaten zu sammeln. Ausgefeiltere Magecart-Angriffe können jedoch Daten von Zahlungsseiten ausspionieren, nachdem sie Benutzer von anderen Seiten einer Website oder einer mobilen App infiziert haben.

Direktes Hacken in den Site-Code

Im Fall von RoomLeader, einem Anbieter von Marketing- und Buchungsdiensten für Hotelketten, berichteten Forscher, dass böswillige Angreifer direkt in ihren Website-Code gehackt haben. Dort installierten die Angreifer einen Skimmer, der Zahlungsdaten von Einkaufsseiten sammelt, auf die mobile Benutzer zugreifen.

Sie können das Angriffsskript oben sehen. Die Magecart-Angreifer achteten darauf, ihr Skript ähnlich wie Google Tag Manager zu gestalten, ein weit verbreitetes Tag-Management-System, das von Google entwickelt wurde, um JavaScript- und HTML-Tags zu verwalten, die für Tracking und Analysen auf Websites verwendet werden. Die Angreifer verschleierten den Angriff weiter, indem sie den Skimmer-Angriff und die gefälschte Zahlungsseite nur übermittelten, wenn ein mobiler Browser-Agent erkannt wurde – ein Hinweis darauf, dass der Benutzer, der die Zahlung vornahm, ein Mobiltelefon nutzte.

Sicherheitsforscher untersuchen Websites eher auf einem Desktop-Browser als auf einem mobilen Gerät, und dies ist eine von vielen Tarntechniken, die von Magecart-Angriffen verwendet werden.

Externer Speicher und CDNs können sich verstecken

Dies ist ein weiteres Code-Snippet von einem Top-OTA. Der hervorgehobene Abschnitt enthält ein Tag, das ein JavaScript aus S3 von Amazon, den Online-Webspeicher-Buckets von Amazon, lädt. Viele Unternehmen speichern Skripte in S3 und greifen remote darauf zu. Wenn ein Amazon S3-Bucket nicht ordnungsgemäß gesichert oder falsch konfiguriert ist, können Magecart-Angreifer leider die in diesen Buckets gespeicherten Inhalte leicht modifizieren, um sie in Skimming-Liefersysteme umzuwandeln. Im April 2019 traf ein Magecart-Angriff 17.000 Amazon S3-Eimer.

Magecart-Angreifer haben auch Inhalte kompromittiert, die von Content Delivery Networks (CDNs) bereitgestellt werden. In einem Fall traf der Angriff Kunden, die das CloudFront CDN von Amazon nutzten. Es ist unklar, ob es den Angreifern gelungen ist, die CDN-Einstellungen zu manipulieren, oder ob dies auf eine Änderung des Ursprungsservers zurückzuführen ist, von dem das CDN die Daten abgerufen hat (in vielen Fällen handelt es sich bei CloudFront um einen S3-Bucket).

CDNs sind Netzwerke, die häufig verwendete Inhalte – unter anderem Bilder und Skripte – von einem verteilten Netzwerk liefern, das diese Elemente näher an den Endbenutzern zwischenspeichert. Dadurch werden Anwendungen und Websites schneller geladen. OTAs verwenden häufig CDNs, um JavaScript-Code zu hosten, um die Aktionen, die das JavaScript ausführt, weiter zu beschleunigen.

Die Reise muss sich genau vor Magiekart-Angriffen schützen

Dies sind nur einige der Vektoren, mit denen Magecart OTAs, Fluggesellschaften oder andere Hospitality-Sites angreifen kann. Es gibt viele andere. JavaScript ist in Websites und mobilen Anwendungen allgegenwärtig. Überall dort, wo Javascript vorhanden ist, besteht das Potenzial für einen Magicart-Angriff.

Im Jahr 2022 werden OTAs und andere Reiseseiten zu den interessantesten Zielen gehören, da viele Benutzer Finanzdaten eingeben und Offline-Käufe ständig ersetzt werden, was im Reiseverkehr schneller und weiter entwickelt ist als in einigen anderen Handelsbereichen.

Diese Unternehmen sollten zusätzliche Vorkehrungen treffen, um sicherzustellen, dass ihr Standortcode nicht geändert wurde. Und sie müssen Benutzer schützen, um ihre Marken zu schützen und potenziell hohe DSGVO- und CCPA-Bußgelder zu vermeiden, indem sie Technologien einsetzen, die JavaScript erkennen können, das sich bei Live-Interaktionen schlecht verhält, und Skimming-Aktivitäten identifizieren, bevor sie sich auf echte Opfer auswirken.

Magecart hebt ab und entführt immer mehr Websites. OTAs und Reiseanbieter können sich Ärger und große finanzielle Risiken ersparen, indem sie im Voraus handeln, um diese Bedrohung zu begründen.

Über den Autor…

Avishai Shafir ist Leiter des Produktmanagements bei PerimeterX.

Leave a Comment