Es gibt derzeit zahlreiche Meldungen, dass Online-Shops, die mit der Software „Magento“ betrieben werden, mit Skimming-Malware infiziert werden. Die Angreifer verschaffen sich dabei mit Hilfe von Brute-Force-Angriffen Zugriff zu Kreditkarten- oder Zahlungsdaten von Kunden, welche an einen Server in Russland weitergeleitet werden. In diesem Zusammenhang der Hinweis, dass es sich hierbei nicht um eine Sicherheitslücke der Software handelt, sondern um gezielte Brute-Force-Angriffe. Da es sich bei den Zahlungsdaten der Kunden um sensible personenbezogene Daten handelt, sollten dringend Maßnahmen zur Verhinderung eines solchen Angriffs ergriffen werden. Ob ihr Online-Shop bereits infiziert ist, lässt sich relativ einfach ermitteln.

Brute-Force-Angriffe

Die Shop-Software „Magento“ wird von zahlreichen Unternehmen zum Aufbau ihres Online-Shops verwendet. Diese wurden nun mehrfach Opfer von sogenannten „Brute-Force-Angriffen“. Bei solchen Brute-Force-Angriffen versuchen automatische Skripte Login-Daten herauszufinden, dabei durchläuft das Skript, komplett unbemerkt im Hintergrund, manchmal mehrere hundert Millionen Kombinationsmöglichkeiten bis die richtigen Login-Daten gefunden worden sind. Sind die Angreifer erfolgreich mit ihrem Angriff, schleusen sie unbemerkt einen Java-Script-Code in die HTML-Templates ein. Daraufhin werden die Daten der Nutzer in Echtzeit mitgeschrieben und in diesen Fällen gleichzeitig an einen Server nach Russland unter der Adresse magentocore.net übertragen. Aus den übersendeten Daten werden danach womöglich Kreditkarten- und Zahlungsdaten der Nutzer extrahiert.  Zusätzlich werden meist auch in den cron.php Dateien Codezeilen eingetragen, wodurch in regelmäßigen Abständen Schadsoftware aus dem Netz heruntergeladen wird, welche die Admin-Passwörter auf einen den Angreifern bekannten Wert ändert. In diesem Fall bauen sich die Angreifer eine Hintertür ein, um den Online-Shop nach vermeintlicher Bereinigung der Schadsoftware erneut infizieren zu können.

Erkennen der Infizierung und Gegenmaßnahmen

Ob ihr Online-Shop bereits infiziert wurde, lässt sich relativ einfach ermitteln. Wenn Sie den folgenden oder abgewandelten Java-Script-Code in ihrem Quelltext entdecken sollten Sie diesen umgehend entfernen:

<script type=“text/javascript“src=“https://magentocore.net/mage/mage.js“></script>

Mit der Entfernung allein ist es jedoch noch nicht getan. Sie sollten zusätzlich ihre Cronjobs nach Unregelmäßigkeiten untersuchen sowie die Passwörter der Admin-Nutzer verstärken. Zudem ist es wichtig, sollten Sie eine Infizierung bemerkt haben, umgehend Ihren Datenschutzbeauftragten zu informieren. Aufgrund des unbefugten Zugriffes auf personenbezogene Daten sollten dringend Maßnahmen ergriffen werden.

Das tückische bei solchen Brute-Force-Angriffen ist, dass sie unentdeckt über einen längeren Zeitraum im Hintergrund ablaufen können. Daher sollten Sie, sofern noch keine Infizierung erkannt wurde, trotzdem geeignete Schutzmaßnahmen für Ihr System ergreifen. Magento selbst empfiehlt die URL des Admin-Panels individuell zu bezeichnen, um den Angreifern die Suche nach dem Einbruchsort zu erschweren. Zusätzlich sollten die Sicherheitseinstellungen für den Admin-Zugang verschärft werden. Hierzu sollte die Anzahl der Anfragen für das Zurücksetzen des Passwortes auf max. 3 begrenzt werden. Sofern die maximale Anzahl von Fehlversuchen erreicht wurde, sollte der Account für einen Zeitraum von zumindest 30 Minuten gesperrt werden. Aufgrund des erhöhten Zeitaufwandes wird damit das Ausprobieren durch den Brute-Force-Angriff zunehmend erschwert. Weiterhin sollte ein CAPTCHA aktiviert werden, welches bereits ab dem ersten Login-Versuch eingegeben werden muss. Dies hemmt die Angreifer automatisierte Login-Versuche überhaupt durchzuführen. Zudem wird seitens Magento empfohlen, das kostenfreie Magento Security Scan Tool, welches in den „Tech Ressources“ bereitgestellt wird, zu aktivieren. Hiermit können gezielte bzw. geplante Scans der Software durchgeführt werden und Hinweise bzw. Anfälligkeiten solcher Brute-Force-Angriffe identifiziert und auf bereits eingeschleuste Malware überprüft werden. Ebenfalls in den Tech Ressources zu finden, sind die Extensions „Amasty“ und „Xtento“. Diese ermöglichen eine sogenannte „Zwei-Faktor-Authentifizierung“. Mit dieser Erweiterung sind für den Login zwei voneinander unabhängige Faktoren notwendig. Hierbei wird dem Admin ein Sicherheitscode auf das Smartphone übersendet, welcher zusätzlich für den Login benötigt wird. Dies erschwert den Angreifern ebenfalls an die Zugangsdaten zu gelangen.

Fazit

Auch wenn Ihr Online Shop bislang von einem solchen Brute-Force-Angriff verschont geblieben ist, sollten Sie trotzdem auf „Nummer sicher“ gehen. Brute-Force-Angriffe laufen häufig über eine längere Zeit unbemerkt im Hintergrund. Sind Sie jedoch bereits Opfer dieser Angreifer geworden, sollte schleunigst gehandelt werden und Ihr Datenschutzbeauftragter sowie ggf. Ihr IT-Sicherheitsbeauftragter umgehend informiert werden.

Ähnliche Beiträge