Im Zuge der zunehmenden Magecart-Angriffe auf Online-Bestellplattformen infizieren aktuelle Kampagnen 311 Restaurants

Im Zuge der zunehmenden Magecart-Angriffe auf Online-Bestellplattformen infizieren aktuelle Kampagnen 311 Restaurants

insikt-logo-blog.png
Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.

Bedrohungsakteure infizieren E-Commerce-Websites mit Magecart-E-Skimmern, um Zahlungskartendaten, Rechnungsinformationen und personenbezogene Daten (PII) von Online-Käufern zu stehlen. Um dieser Bedrohung entgegenzuwirken, überwacht das Magecart Overwatch-Programm von Recorded Future Hunderttausende von E-Commerce-Websites, um das Vorhandensein von E-Skimmer-Infektionen zu erkennen. In diesem Bericht werden zwei aktuelle Magecart-Kampagnen detailliert beschrieben, die auf Online-Bestellplattformen von Restaurants abzielten und zur Offenlegung von Online-Transaktionen bei 311 Restaurants führten. Die Zielgruppe sind Betrugs- und Cyber-Threat-Intelligence-Teams (CTI) sowie E-Commerce-Sicherheitsexperten von Finanzinstituten.

Executive Summary

Online-Bestellplattformen für Restaurants ermöglichen es Kunden, online Essensbestellungen aufzugeben und erlauben Restaurants, den Aufwand der Entwicklung eines Bestellsystems auszulagern. Während hochkarätige Online-Bestellplattformen wie Uber Eats und DoorDash den Markt dominieren, gibt es auch Hunderte kleinerer Online-Bestellplattformen, die kleine, lokale Restaurants bedienen – und selbst kleine Plattformen können Hunderte von Restaurants als Kunden haben. Infolgedessen sind Online-Bestellplattformen zu einem begehrten Ziel für Bedrohungsakteure geworden, die Magecart-E-Skimmer-Angriffe durchführen, denn die Kompromittierung einer einzigen Online-Bestellplattform führt in der Regel zur Offenlegung der Online-Transaktionen eines erheblichen Teils der Restaurants, die die Plattform nutzen.

Kürzlich haben wir zwei laufende Magecart-Kampagnen identifiziert, die E-Skimmer-Skripte in die Online-Bestellportale von Restaurants eingeschleust haben und dabei drei verschiedene Plattformen verwenden: MenuDrive, Harbortouch und InTouchPOS. Auf allen drei Plattformen wurden mindestens 311 Restaurants mit Magecart-E-Skimmern infiziert, eine Zahl, die durch weitere Analysen wahrscheinlich noch steigen wird.

Durch die Magecart-E-Skimmer-Infektionen auf den Websites dieser Restaurants werden häufig die Zahlungskartendaten und PII (Rechnungs- und Kontaktdaten) der Kunden offengelegt. Bis heute haben wir bereits über 50.000 kompromittierte Zahlungskartendaten dieser infizierten Restaurants identifiziert, die offengelegt und im Dark Web zum Verkauf angeboten wurden.

Wichtige Erkenntnisse

Hintergrund

Cyberkriminelle streben häufig nach der höchsten Vergütung für den geringsten Arbeitsaufwand. Dies hat sie dazu gebracht, die Online-Bestellplattformen von Restaurants ins Visier zu nehmen. Wird auch nur eine einzige Plattform angegriffen, können die Transaktionen von Dutzenden oder gar Hunderten von Restaurants kompromittiert werden. Cyberkriminelle können dadurch in einem Ausmaß Unmengen an Zahlungskartendaten von Kunden stehlen, das in keinem Verhältnis zur Zahl der Systeme steht, die sie tatsächlich hacken. Die COVID-19-Pandemie hat diesen Zustand noch verschärft, da aufgrund der Einschränkung der Möglichkeiten der Restaurants, vor Ort zu essen, ein Anstieg der Online-Bestellungen zu verzeichnen war.

Im Mai 2021 berichteten wir über Verstöße bei fünf Online-Bestellplattformen für Restaurants, darunter Grabul, EasyOrdering und eDiningExpress. Die beiden letztgenannten Plattformen (sowie MenuDrive, Harbortouch und InTouchPOS) funktionieren alle auf ähnliche Weise: Sie bieten eine restaurantspezifische Bestellanwendung, die auf plattformbetriebenen Domänen gehostet wird. Wenn sich Bedrohungsakteure unbefugten Zugriff auf die gemeinsam genutzten Bibliotheken einer bestimmten Online-Bestellplattform verschaffen, können sie serverseitige Skripte so ändern, dass durch einen einzigen Angriff zahlreiche Händler betroffen sind, da diese Händler oft auf dieselben gemeinsam genutzten Bibliotheken angewiesen sind.

Dieser jüngste Angriff war nicht der erste Einbruch von Harbortouch. Im Jahr 2015 gab Harbortouch einen Datendiebstahl zu, der eine nicht näher genannte Zahl von Restaurants betraf; das Cybersicherheitsblog „Krebs on Security“ berichtete, dass mindestens 4.200 Geschäfte, die Harbortouch-Software verwenden, kompromittiert wurden.

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.