Immer mehr Menschen fangen mit Online-Shopping an. Nun entsteht genau hier eine neue Gefahr: Digital Skimming. Für Kunden wird die Absicherung von Cyber-Risiken immer wichtiger.
Digital Skimming im Überblick
Weihnachten 2022: Das Bundeskriminalamt bemerkt eine erhöhte Aktivität im Bereich des Digital Skimming. Dabei handelt es sich um einen digitalen Raubzug, mit dem Kriminelle unbemerkt die Kreditkartendaten von Online-Kunden während des Bezahlvorgangs im Onlineshop ergattern. Dabei bauen sie auf Sicherheitslücken im Webshop. Das Konzept ist bereits lange bekannt; Kriminelle nutzten früher zum Beispiel einen manipulierten Kartenleser, mit dem sie Kreditkartendaten abgriffen. Heutzutage geht das anders. Dem BKA zufolge können Cyberangreifer den Quellcode von Webshops beim digitalen Skimming derartig manipulieren, dass eine Kopie der eingegebenen Kreditkartendaten an die Täter weitergeleitet wird. Andere Zahlungsformen waren (Stand 13.12.2022) noch nicht betroffen.
In drei Schritten zu den Daten des Kunden
Und wie funktioniert das im Detail? Laut Europol passiert Digital Skimming in drei Schritten.
- Der Einbruch: Cyberkriminelle verschaffen sich Zugang zum Quellcode oder zum Server eines Online-Shops oder eines Third-Party-Tools. Das können auch andere Webseiten oder Apps sein, Hauptsache, irgendwo wartet ein Bezahlvorgang.
- Die Injektion: Hier bauen die Angreifer eine Malware in den Code oder die Webseite ein.
- Die Sammlung: Die Malware kann die Kundendaten inklusive der Kontonummer aufzeichnen. Diese wird dann automatisch sofort gesammelt oder im Server versteckt und später „gehoben“ werden. Dieser Vorgang ist angeblich sicherer.
Das große Problem daran: Weil der Bezahlvorgang normalerweise ohne Probleme abschließt, merken weder Kunden noch die Betreiber der Shops etwas von dem Einbruch und der kompromittierten Privatsphäre. Besonders betroffen sind kleine und mittelgroße Online-Händler, die auf standardisierte Shop-Systeme zurückgreifen.
Tipps für Nutzer
Das Perfide an digitalen Skimming-Angriffen ist, dass sie für eine sehr lange Zeit unentdeckt bleiben können. Wenn eine Sicherheitslücke dann irgendwann als Licht kommt, bedeutet das oftmals einen Rufschaden für das geschädigte Unternehmen. Potenzielle Nutzer könnten von der Sicherheitslücke abgeschreckt sein, und bestehende User könnten zur Konkurrenz wechseln.
Verbrauchern rät das Bundeskriminalamt dazu, sich beim Bezahlvorgang Zeit zu nehmen und jede Art von Auffälligkeiten genauestens zu betrachten. Sollten Kreditkartendaten beim Zahlungsvorgang ungewöhnlich früh auftauchen, ist gesundes Misstrauen angesagt. Sollte der Onlineshop auf seiner Webseite mehrere Zahlungsoptionen anbieten, die im Zahlungsprozess nicht auftauchen, könnte eine „manipulierte Eingabemaske“ vorliegen. Das bedeutet, Kunden geben ihre Daten nicht wirklich beim Händler ein, sondern direkt im Tool der Angreifer. Alternativ können Kunden alternative Zahlungsmethoden wählen und auf den Einsatz der Kreditkarte verzichten.
Bei einem Hinweis darauf, dass Angreifer die Kreditkartendaten von Kunden gestohlen haben, gilt es die örtliche Polizei einzuschalten.
Tipps für Webseitenbetreiber
Und Webseitenbetreiber sollten stets Malware-Schutz nutzen und die Mitarbeiter entsprechend ausbilden. Außerdem sollten überall dort, wo es möglich ist, starke Passwörter den Angriff von außen auf die Systeme verhindern. Die IT-Abteilung sollte einstellen, dass nur bestimmte IP-Adressen auf das Kontrollzentrum des Shops oder der Webseite zugreifen können.
Gothaer Cyberschutz
Die Gothaer stellt für Kunden einen weltweiten Cyber-Schutz zur Verfügung. Die Absicherung umfasst die Bereitstellung eines Dienstleisternetzwerks bezüglich Prävention und die Soforthilfe im Schadensfall. Dazu gehören eine 24-Stunden-Cyber-Soforthilfe-Hotline, die Schadenermittlung, Wiederherstellung von Daten und Programmen sowie eine Krisenberatung.
Die Cyber-Versicherung richtet sich vorrangig an kleine und mittelständische Unternehmen beziehungsweise Gewerbekunden mit einem Umsatz bis zehn Millionen Euro sowie Unternehmen des Industriesegments mit einem Umsatz ab zehn Millionen Euro. Bei der Absicherung besteht Versicherungsschutz für Dritt- und Eigenschäden, die auf Datenrechtsverletzungen, IT-Sicherheitsverletzungen oder bei einem Hacker-Angriff.
Weitere Informationen dafür gibt es im Gothaer Partnerportal.
Kommentar hinzufügen