Der Beginn der umsatzstärksten Einkaufszeit des Jahres wird durch die Entdeckung zweier neuer, hochentwickelter Betrugsprogramme getrübt, die eine erhebliche Bedrohung für E-Commerce-Plattformen darstellen. Diese sogenannten Carding-Bots sind darauf spezialisiert, gestohlene Kreditkartendaten in großem Stil zu validieren und für kriminelle Zwecke zu missbrauchen. Die Forscher von PerimeterX haben diese Bedrohungen identifiziert und geben wichtige Hinweise, wie sich Unternehmen schützen können.
Die zwei neuen Akteure im Cybercrime
Die Spezialisten von PerimeterX haben zwei neuartige Carding-Bots aufgedeckt, die die Sicherheit von Online-Händlern auf die Probe stellen.
Der “Canary Bot” – Täuschungsmanöver auf höchstem Niveau
Einer dieser Bots, der “Canary Bot”, zielt gezielt auf führende E-Commerce-Plattformen ab. Seine Vorgehensweise ist besonders perfide, da er menschliches Verhalten täuschend echt nachahmt. Laut den Forschern erstellen diese Bots einen Warenkorb, fügen Produkte hinzu, geben Versandinformationen ein und führen schließlich den eigentlichen Carding-Angriff durch. Alle Schritte, mit Ausnahme des eigentlichen Betrugsversuchs, erscheinen für die Website-Betreiber und Sicherheitssysteme wie die einer normalen Benutzerinteraktion. Diese ausgeklügelte Tarnung macht es schwierig, die automatisierten Angriffe von echten Kundenkäufen zu unterscheiden.
Der “Shortcut Bot” – Direkter Angriff auf Zahlungsanbieter
Der zweite entdeckte Bot, der “Shortcut Bot”, verfolgt einen noch direkteren Ansatz. Anstatt die E-Commerce-Website selbst zu durchlaufen, umgeht er diese komplett und greift stattdessen direkt die Application Programming Interfaces (APIs) der Karten-Zahlungsanbieter an, die von Websites oder mobilen Apps genutzt werden. Dieser Ansatz ermöglicht es den Angreifern, den Zahlungsprozess zu stören und Kreditkartendaten zu validieren, ohne dass die Ziel-E-Commerce-Website überhaupt involviert ist. Brisant ist dabei, dass die Angreifer laut den Forschern teilweise auf API-Aufrufwege stoßen, die selbst den Betreibern der Websites unbekannt sind.
Was ist Carding und wie funktioniert es?
Carding ist eine Form des Brute-Force-Angriffs auf die Websites von Einzelhändlern, bei dem gestohlene Kredit- oder Geschenkkarten zum Einsatz kommen. Cyberkriminelle nutzen diese Methode, um Millionen von kompromittierten Kreditkartendaten in kurzer Zeit zu überprüfen und eine Liste gültiger Karten zu erstellen. Diese validierten Karten werden dann oft auf dem Schwarzmarkt für etwa 45 US-Dollar pro Stück verkauft. Alternativ werden sie gegen nicht nachverfolgbare Geschenkkarten eingetauscht, was den Kriminellen hilft, ihre Identität zu verschleiern. Um die Karten zu verifizieren, tätigen die Angreifer typischerweise einen Geringwertigen Einkauf. Sobald eine Karte als gültig identifiziert wurde, kann sie für den Kauf hochpreisiger Artikel verwendet werden, was zu erheblichen finanziellen Verlusten führt. Diese Verluste werden oft von den Einzelhändlern und Zahlungsdienstleistern getragen.
Wachsender Trend und evolutionäre Angriffsstrategien
Die Forscher von PerimeterX beobachten seit einiger Zeit einen zunehmenden Trend beim Missbrauch von API-Endpunkten zur Validierung von Kreditkarten sowohl im Web als auch in mobilen Anwendungen. Die Entdeckung dieser beiden neuen Bot-Typen inmitten der geschäftigsten Einkaufsphase des Jahres unterstreicht die sich ständig weiterentwickelnden Angriffswerkzeuge von Cyberkriminellen. Die Zunahme dieser neuen Angriffsmuster über mehrere, voneinander unabhängige Kunden hinweg deutet auf eine schnelle Evolution der zugrundeliegenden Technologie und Taktiken hin. Dieses dynamische Umfeld ähnelt dem von konkurrierenden Start-ups, die möglicherweise ihre Dienste beim selben Cloud-Anbieter hosten und dieselben Open-Source-Bibliotheken verwenden, was zu ähnlichen Schwachstellen führen kann.
Empfehlungen für E-Commerce-Betreiber
Um sich vor solchen raffinierten Angriffen zu schützen, rät PerimeterX den Betreibern von E-Commerce-Websites dringend dazu, grundlegende Sicherheitsmaßnahmen zu implementieren. Eine effektive Präventivmaßnahme besteht darin, zu verhindern, dass Benutzer die Zahlungsseite erreichen, ohne dass sich Artikel in ihrem Warenkorb befinden. Dies kann die Ausführung einfacher Carding-Angriffe erschweren. Unternehmen sollten zudem ihre API-Sicherheit überprüfen und sicherstellen, dass alle Schnittstellen ordnungsgemäß authentifiziert und autorisiert sind, um unbefugte Zugriffe zu verhindern. Eine kontinuierliche Überwachung des Netzwerkverkehrs und verdächtiger Aktivitäten ist unerlässlich, um neue Bedrohungen frühzeitig zu erkennen.
Die Bedrohung durch Carding-Bots ist real und entwickelt sich ständig weiter. Durch die Implementierung robuster Sicherheitsmaßnahmen und die Wachsamkeit gegenüber neuen Betrugsmethoden können Online-Händler ihre Plattformen und Kunden besser schützen.