Web-Skimming ist eine Art von Cyberangriff, bei dem bösartige Skripte in eine Website eingebettet werden, um von Nutzerinnen und Nutzern eingegebene Kreditkartendaten und persönliche Daten zu stehlen. Häufig sind die Zahlungsformulare auf E-Commerce-Websites das Ziel, und in Japan wurden zahlreiche Vorfälle gemeldet, bei denen die Daten von Nutzerinnen und Nutzern ohne deren Wissen gestohlen wurden.
Unbefugter Zugriff und Datenverstöße, die auf E-Commerce-Websites abzielen, sind zu einem großen Sicherheitsproblem für Unternehmen geworden, weshalb die Implementierung sicherer Zahlungssysteme unerlässlich ist.
In diesem Artikel erhalten Sie einen leicht verständlichen Überblick über Web-Skimming – von der Funktionsweise über die zugrunde liegenden Ursachen bis hin zu wirksamen Gegenmaßnahmen und relevanten Fallstudien aus Japan.
Worum geht es in diesem Artikel?
- Was ist Web-Skimming?
- So funktioniert Web-Skimming
- Risikofaktoren für Web-Skimming
- Maßnahmen gegen Web-Skimming
- Beispiele für Web-Skimming in Japan
- So kann Stripe Radar Sie unterstützen
Was ist Web-Skimming?
Web-Skimming ist die Bezeichnung für eine Art von Cyberangriff, bei dem bösartiger Code in eine Website eingebettet wird, um von Nutzerinnen und Nutzern eingegebene Informationen zu stehlen.
Trotz des Vorhandenseins dieses Schadcodes erscheinen die Bezahlseite und die Eingabeformulare der Website echt. Infolgedessen bemerken die Nutzer/innen die Veränderung nicht und geben ihre Kreditkartendaten und Angaben zur Person wie gewohnt auf der Website ein. Es besteht jedoch das Risiko, dass diese Informationen heimlich an den Angreifer übertragen werden.
Vorfälle von Web-Skimming
Es gab zahlreiche Berichte über Kreditkartendaten, die aufgrund unbefugter Zugriffe auf E-Commerce-Websites kompromittiert wurden oder durchgesickert sind.
Im März 2022 führte die Kommission zum Schutz persönlicher Daten eine Umfrage zum unbefugten Zugriff auf E-Commerce-Websites durch. Die Ergebnisse zeigten, dass bei Websites, die Opfer eines unbefugten Zugriffs geworden waren, in 93 % der Fälle Kreditkartendaten offengelegt wurden und in 77 % der Fälle eine betrügerische Nutzung von Kreditkarten stattfand. Etwa 80 % der Unternehmen stellten den Betrieb ihrer E-Commerce-Websites infolge des unbefugten Zugriffs vorübergehend ein.
Somit können Web-Skimming und andere Cyberangriffe erhebliche Auswirkungen auf den Geschäftsbetrieb haben. Dies kann nicht nur zum Verlust von Kundendaten führen, sondern auch zur Einstellung des E-Commerce-Betriebs und zu einer Schädigung des Unternehmensrufes.
Unterschiede zum Skimming
„Skimming“ ist ein dem Web-Skimming ähnliches Konzept. Die Hauptunterschiede zwischen Skimming und Web-Skimming sind wie folgt:
|
Skimming |
Web-Skimming |
|
|---|---|---|
|
Anfällige Orte |
Geldautomaten und Kartenlesegeräte |
Websites |
|
Angriffsmethoden |
Karteninformationen werden mit einem speziellen Gerät ausgelesen |
Eingabedaten werden mithilfe eines Schadskripts gestohlen |
|
Häufige Ziele |
Daten des Magnetstreifens von Karten |
Kreditkartendaten und personenbezogene Daten |
Skimming ist eine Straftat, bei der die Daten des Magnetstreifens einer Kreditkarte und andere Informationen unbefugt ausgelesen werden. Eine gängige Methode besteht darin, ein Gerät an einem Geldautomaten oder Kartenlesegerät anzubringen, um Karteninformationen zu stehlen.
Web-Skimming hingegen ist ein über das Internet durchgeführter Angriff; dabei werden bösartige Skripte oder Codes in Websites eingebettet, um von Nutzerinnen und Nutzern eingegebene Daten zu stehlen.
So funktioniert Web-Skimming
Beim Web-Skimming werden in die Website eingebettete bösartige Codes oder Skripte verwendet, um von Nutzerinnen und Nutzern eingegebene Informationen an externe Parteien zu übermitteln. Cyberkriminelle nutzen verschiedene Methoden, um Websites und externe Dienste zu kompromittieren und so die Voraussetzungen für den Zugriff auf Nutzereingaben zu schaffen.
Der typische Ablauf von Web-Skimming ist wie folgt:
- Ein Angreifer manipuliert eine Website oder einen externen Dienst und bettet ein bösartiges Skript ein.
- Ein/e Nutzer/in gibt Kreditkartendaten oder persönliche Daten in ein Zahlungsformular oder Ähnliches ein.
- Das Skript erfasst die eingegebenen Informationen.
- Diese erfassten Informationen werden an den Server des Angreifers gesendet.
Obwohl das Skript in die Website eingebettet ist, bleibt das Erscheinungsbild der Website unverändert. Folglich geben Nutzer/innen ihre Kreditkarten- und persönlichen Daten in der Annahme ein, dass sie die Website wie gewohnt nutzen.
Wie dies verdeutlicht, sind Web-Skimming-Angriffe äußerst raffiniert. Es gibt viele Fälle, in denen Monate vergehen, ohne dass Nutzer/innen oder Unternehmen bemerken, dass ein Sicherheitsverstoß stattgefunden hat. Es obliegt daher den Betreibern von Unternehmen, potenzielle Schwachstellen zu beseitigen, die sie zu Zielen für Web-Skimming machen könnten, und wirksame Gegenmaßnahmen zu ergreifen.
Risikofaktoren für Web-Skimming
Web-Skimming tritt auf, wenn Cyberkriminelle Schwachstellen wie Sicherheitslücken in Websites, Manipulationen an externen Diensten oder unzureichende Sicherheit von E-Commerce-Websites ausnutzen.
Schwachstellen auf Websites
Einer der Faktoren, die zu Web-Skimming beitragen, sind Schwachstellen auf Websites. Wenn in einem Content-Management-System (CMS) oder der für die E-Commerce-Website verwendeten Entwicklungsumgebung Sicherheitslücken bestehen, ist das Risiko höher, dass die Website von Angreifern kompromittiert wird.
Beispielsweise können Cyberangriffe – wie SQL-Injection (ein Angriff, bei dem bösartige Befehle an die Datenbank einer Website gesendet werden) – dazu führen, dass bösartige Skripte in eine Website eingebettet werden.
Websites werden anfälliger für Angriffe, wenn Software-Updates nicht installiert wurden oder veraltete Versionen von Plugins verwendet werden.
Kompromittierte externe Dienste oder Skripte
Wenn Skripte auf externen Diensten manipuliert werden, können Web-Skimming-Angriffe auftreten, selbst wenn die Website selbst nicht kompromittiert wurde.
E-Commerce-Websites nutzen eine Vielzahl externer Skripte, darunter Analysetools, Chat-Funktionen und Zahlungsdienstleistungen. Werden diese externen Skripte kompromittiert, besteht die Gefahr, dass von Nutzerinnen und Nutzern eingegebene Informationen an Angreifer gesendet werden.
Diese Art von Angriff könnte auch eine große Anzahl anderer Websites betreffen, die denselben externen Dienst nutzen.
Unzureichende Sicherheitsmaßnahmen
Sind keine angemessenen Sicherheitsmaßnahmen und Managementsysteme eingerichtet, steigt das Risiko von unbefugtem Zugriff oder Datenmanipulation.
Beispielsweise können unzureichende Zugriffsbeschränkungen für das Admin-Portal oder ein mangelhaftes Passwortmanagement zu unbefugtem Zugriff führen.
Sind die Sicherheitsüberwachung und Schwachstellenprüfungen unzureichend, können eingebettete bösartige Skripte lange Zeit unentdeckt bleiben.
Maßnahmen gegen Web-Skimming
Um Web-Skimming zu bekämpfen, ist es wichtig, Schwachstellen auf der Website zu beheben, externe Skripte zu verwalten und eine Sicherheitsüberwachung durchzuführen. Es ist zudem ratsam, ein System zur Verhinderung betrügerischer Zahlungen zu implementieren, für den Fall, dass tatsächlich Kartendaten von Ihrer Website gestohlen werden.
|
Gegenmaßnahme |
Details |
|---|---|
|
Software-Updates |
Halten Sie CMS, E-Commerce-Entwicklungstools und Plugins auf dem neuesten Stand und beheben Sie bekannte Schwachstellen. |
|
Verwaltung externer Skripte |
Überprüfen Sie den Nutzungsstatus externer Dienste und von JavaScript und laden Sie nur vertrauenswürdige Skripte. |
|
Zugriffsverwaltung für das Admin-Portal |
Verhindern Sie unbefugten Zugriff durch strenge Passwortanforderungen, Zugriffsbeschränkungen und Multi-Faktor-Authentifizierung. |
|
Website-Überwachung |
Überwachen Sie die Website auf Manipulationen und verdächtigen Netzwerkverkehr, um Anomalien frühzeitig zu erkennen. |
|
Implementieren Sie ein System, bei dem die E-Commerce-Website keine Kreditkartendaten speichert, um so das Risiko von Datenlecks zu verringern. |
|
|
Einsatz von Maßnahmen zur Betrugsvorbeugung |
Implementieren Sie Betrugsvorbeugungsmaßnahmen wie ein Betrugserkennungssystem und 3D Secure 2 (3DS2). |
Web-Skimming ist ein Angriff, der Schwachstellen in Websites oder Schwächen in deren Verwaltungssystemen ausnutzt. Die kontinuierliche Aktualisierung von Software, die ordnungsgemäße Verwaltung externer Skripte und die Überwachung der Sicherheit können dazu beitragen, Vorfälle zu verhindern oder deren Eskalation zu vermeiden.
Beispielsweise kann die Implementierung von 3D Secure 2 (3DS2) dazu beitragen, das Risiko zu verringern, dass durch Web-Skimming oder ähnliche Methoden gestohlene Kreditkartendaten für Betrugszwecke verwendet werden.
Beispiele für Web-Skimming in Japan
Auf japanischen E-Commerce-Websites wurden konkrete Fälle von Web-Skimming gemeldet.
Im Jahr 2023 wurde ein Verdächtiger festgenommen, der mutmaßlich Malware zum Diebstahl von Kartendaten auf dem Server des offiziellen Online-Shops einer japanischen Musikgruppe installiert und sich dadurch illegal Kreditkartendaten verschafft hatte. Medienberichten zufolge soll der Verdächtige die Daten von etwa 500 Kreditkarten erlangt haben.
Wie dieser Fall verdeutlicht, tritt Web-Skimming auf, wenn legitime E-Commerce-Websites kompromittiert werden, was es für Nutzer/innen schwierig macht, den Angriff zu erkennen. Dies zeigt, dass Betreiber von E-Commerce-Websites kontinuierlich Sicherheitsmaßnahmen wie Software-Updates, die Verwaltung externer Skripte und die Überwachung der Website umsetzen müssen.
So kann Stripe Radar Sie unterstützen
Stripe Radar verwendet KI-Modelle, um Betrug zu erkennen und zu verhindern. Diese Modelle wurden mit Daten aus dem globalen Netzwerk von Stripe trainiert. Sie werden kontinuierlich auf der Grundlage neuester Betrugstrends aktualisiert und schützen Ihr Unternehmen vor aufkommenden betrügerischen Aktivitäten.
Stripe bietet außerdem Radar for Fraud Teams an, mit dem Nutzer/innen benutzerdefinierte Regeln für Betrugsszenarien hinzufügen können, die speziell auf ihr Unternehmen zugeschnitten sind. Außerdem erhalten sie Zugang zu neuesten Erkenntnissen über betrügerische Aktivitäten.
Mit Radar kann Ihr Unternehmen unter anderem Folgendes umsetzen:
Verlust aufgrund von Betrug vermeiden: Stripe wickelt jährlich Zahlungen in Höhe von über 1 Billion USD ab. Dadurch kann Radar auf einzigartige Weise Betrug genau erkennen und verhindern.
Umsatz steigern: Die KI-Modelle von Radar werden anhand tatsächlicher Anfechtungsdaten, Kundeninformationen, Daten zum Surfverhalten und mehr trainiert. Damit kann Radar riskante Transaktionen identifizieren und falsch positive Ergebnisse reduzieren und so Ihren Umsatz steigern.
Zeit sparen: Radar ist in Stripe integriert und lässt sich ohne Codierung einrichten. Sie können über eine einzige Plattform Ihre Performance mit Blick auf Betrug überwachen, Regeln schreiben und vieles mehr. Das erhöht die Effizienz.
Erfahren Sie mehr über Stripe Radar oder starten Sie noch heute.
Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.