Eine Verhaftung ereignet sich bei den drei Personen, die wegen MageCart-Angriffen angeklagt sind
In den letzten drei Monaten des Vorjahres war eine Zunahme von MageCart-Angriffen zu beobachten. Am berüchtigsten war British Airways, wo fast 400.000 Menschen Opfer eines Codes mit 22 Zeilen Länge wurden. Der Angriff fand zwischen dem 7. und 15. Oktober statt, als Hacker den bösartigen Code auf der Online-Checkout-Webseite des Unternehmens eingeschleust hatten. Inzwischen hat die indonesische Polizei drei Personen festgenommen, die beschuldigt werden, Mitglied der MegaCart-Gang zu sein.
Die Gang-Hacker von MageCart sind am Targeting von Warenkorbanwendungen beteiligt, die auf E-Commerce-Websites zu finden sind. Sie verwenden den böswilligen Code, um von Kunden eingegebene Kartendetails zu überspringen. Dieser Vorgang wird als Web-Skimming oder eSkimming bezeichnet. Danach können die Hacker die Karte zu beliebigen Zwecken nutzen. Normalerweise verkaufen sie sie über das Darknet. Um bösartigen Code in den Einkaufswagen zu injizieren, gefährden sie die Ziel-E-Commerce-Site oder die Zielanwendungen von Drittanbietern.
In einer gemeinsamen Aktion von Interpol und der indonesischen Polizei wurden am 20. Dezember 2019 drei Personen festgenommen, die wegen MageCart-Angriffen angeklagt waren. Die Öffentlichkeit wurde Ende Januar 2020 durch eine Pressekonferenz darüber informiert. In der Pressekonferenz wurden die Individuen durch ihre Initialen -ANF (27 Jahre alt), K (35 Jahre alt) und N (23 Jahre alt) identifiziert. Sie gehörten zu Jakarta und Yogyakarta.
Nach Angaben der indonesischen Behörden greift der MageCart zwölf E-Commerce-Websites an, von denen die meisten europäisch sind. Forscher von Sanguine Security haben der Bande jedoch 571 verschiedene Instanzen zugeschrieben, und zwar mit dem seltsamen Satz „Erfolg!“, Der von der Bande verwendet wurde. Dieser Satz übersetzt auf “Erfolg, Bruder!” Auf Englisch. Der Satz wurde in allen Angriffen, die der Bande zugeschrieben werden, präsentiert. Die Bande hat seit 2017 mehrere Domains registriert, wobei die vorgeschlagenen Namen häufig auf ihren Aufenthaltsort und ihre Absichten hinweisen.
Auf dem Radar
Abgesehen von den Bränden von Sanguine Security und der Polizei verfolgte Group IB, eine Sicherheitsfirma, die Bande. Diese Sicherheitsfirma ist auf den Kampf gegen MageCart-Angriffe spezialisiert. Am 27. Januar veröffentlichte sie einen Artikel über die Operation Night Fury – ein Codename, der der Polizeieinsatz erhielt, um die Bandenmitglieder zu verhaften. Die Sicherheitsfirma verfolgte die Bande mit dem Namen GetBilling -name, der von einer der Funktionen abgeleitet ist, die im schädlichen JavaScript-Code verwendet werden. Diese Sicherheitsfirma half den Behörden bei der Verhaftung der Personen. Die Angeklagten wurden anhand der gestohlenen Kartendetails zu Zahlungen für elektronische Geräte und Luxusgüter nachverfolgt.
Die Angeklagten verwendeten ein VPN, um ihren Standort und ihre Identität zu verbergen. Sie verwenden dieses VPN, um die gestohlenen Kartendaten von den Befehls- und Kontrollservern abzurufen. Die Angeklagten nutzten die gestohlenen Kartendaten auch, um für webfeindliche Dienste zu bezahlen und versuchten, ihre Identität zu verbergen. Trotz ihrer Versuche gelang es den Forschungen, den Standort der Befehls- und Kontrollserver an Standorten in Indonesien zu verfolgen. Diese Informationen wurden für die Festnahme verwendet. Hoffentlich werden im kommenden Monat auch andere Gangmitglieder verhaftet.
Worauf die Group-IB aufgrund der MageCart-Angriffe bei den E-Commerce-Geschäftsinhabern und Kunden aufmerksam geworden ist: „Die Anzahl der in Untergrundforen hochgeladenen kompromittierten Karten stieg im Vergleich zum Vorjahr von 27,1 Millionen auf 43,8 Millionen in H2 2108-H1 2019 . Der Kardenmarkt wuchs um 33 Prozent und belief sich auf 879,7 Mio. USD. Auch der Verkauf von CVV-Daten ist heute auf dem Vormarsch und hat im entsprechenden Zeitraum um 19 Prozent zugenommen. Einer der Hauptgründe für diesen Trend könnten JavaScript-Sniffer sein. “
Die Richtlinie der Sicherheitsfirma zur Verhinderung von finanziellen Verlusten infolge eines solchen Angriffs:
„Um große finanzielle Verluste durch JS-Sniffer zu vermeiden, wird Online-Nutzern empfohlen, eine separate Prepaid-Karte für Online-Zahlungen zu haben, Ausgabelimits für Karten festzulegen, für Online-Einkäufe zu verwenden oder sogar ein separates Bankkonto ausschließlich für Online-Zahlungen zu verwenden Einkäufe. Online-Händler wiederum müssen ihre Software auf dem neuesten Stand halten und ihre Websites regelmäßig auf Cybersicherheit überprüfen. “