Shanghaied shops & ABS / Scout detection, boutiques, negozi

„Shanghaied“ Shops & ABS / Scout detection

Eine offen stehende Ladentür ist quasi wie eine Einladung für Kriminelle. Darum schauen die meisten Ladenbesitzer Abends nach, ob die Türen geschlossen sind. In der Online-Welt jedoch lassen Tausende ihre virtuellen Ladentüren sperrangelweit offen. Und welch Überraschung – sie wurden gehackt! Die Gewalt über den Shop hat nun nicht mehr der Ladenbesitzer sondern der Kriminelle. Dieser kann mit Schritt 2 seines Plans fortfahren: Er fügt im Online-Shop ein kleines Script hinzu, das ihm die Kreditkartendaten der Kunden aus dem Shopping-System weiterleitet. Diese können dann auf dem Schwarzmarkt verkauft oder auch gleich zum direkten Einkauf verwendet werden.

Tausende von Shops sind betroffen

Es ist eine verzwickte Situation: Der alte und „Trusted“ Online-Shop betätigt sich nun in etwas, was man als „Phishing“ bezeichnen könnte – und das ohne, dass der Online-Shop-Besitzer irgendetwas davon weiß.

Für die Kunden

Kunden müssen vorsichtig sein: Wenn sie Warnungen ignorieren und ihre Kreditkartendaten eingeben, werden diese Daten direkt an Kriminelle übermittelt. Vom Diebstahl und möglichem Missbrauch der Kreditkartendaten einmal abgesehen, wird das genutzte Gerät aber voraussichtlich nicht betroffen sein. Also zur Erinnerung: Nur Ihr Geld ist einem Risiko ausgesetzt, Ihre Geräte wahrscheinlich nicht.

Für den Besitzer des Online-Shops

ABS (und Avira Scout) entdeckt diese kompromittierten Seiten nun und markieren diese als „Phishing“. Als Besitzer eines Online-Shops sind Sie nun wahrscheinlich ziemlich verwirrt – schließlich haben Sie keine Phishing-Seite aufgesetzt! Nun ja, das hat jemand Anderes in Ihrem Namen für Sie übernommen und greift nun Ihre Kunden an. Es wird persönlich – und somit Zeit für Ihren heiligen Zorn, um die Kriminellen aus Ihrem Online-Shop zu vertreiben. Nachdem Sie Ihre Seite gesäubert haben (was auch die Beseitigung der Schwachstelle(n) betrifft), kontaktieren Sie uns bitte hier. Beschreiben Sie, wie Sie die Seite gesäubert haben und fügen Sie eventuell noch das Stichwort „Magento“ hinzu (das ist wahrscheinlich die Software des Shops, die Sie nutzen, richtig?). Dies erlaubt uns dann, Ihre Seite zu überprüfen, aus der Erkennung zu entfernen und die Warnung für Ihre Seite nicht mehr anzuzeigen.

Ding, ding, ding: 1000 Punkte für die Guten!

Wie bezeichnen?

Für den Nutzer handelt es sich nur um eine weitere Phishing-Seite. Für den Besitzer ist es sein geliebter Online-Shop. Wir suchen gerade nach einer besseren und spezifischeren Möglichkeit, zwischen dem traditionellen „Diese Seite wurde ausschließlich für kriminelle Aktivitäten erstellt.“ und dem aufwändigeren „Diese Seite wurde „shanghaied“ und in eine kriminelle Gruppe assimiliert“. Sobald wir etwas dahingehend gefunden haben, werden wir es in der Erkennung neu benennen und diesen Blogartikel aktualisieren.

Die Hintergrundgeschichte

Nachdem nun die wichtigsten Punkte abgehakt sind, legen wir noch eine kurze und schmerzlose Geschichtsstunde drauf:

  • Der holländische Forscher Willem de Groot entdeckte vor ungefähr einem Jahr, dass Online-Shops gehackt wurden.
  • Berichte zeigten, dass das Melden der betroffenen Shops bei den Besitzern auch weiterhin keine guten Resultate erzielte.
  • Er meldete seine Ergebnisse Google Safe Browsing.
  • Da das Problem aktuell eskaliert, schreiten wir ein und schützen unsere Kunden:
    • Wir haben die Liste.
    • Wir haben Tools kreiert, um sicherzustellen, dass die Online-Shops weiterhin infiziert sind.
    • Wir haben die gefährlichen Online-Shops unserem Avira Browser-/Scout-Schutz hinzugefügt (um genau zu sein, unserer Avira Url Cloud database AUC)
    • Wir behalten die Shops im Auge, sodass unsere Liste auf dem neusten Stand bleibt.

Warum hat das so lange gedauert?

Eigentlich hat es das gar nicht. Diese infizierten Warenkorb/Kassen-Seiten wurden bereits seit jeher als Phishing entdeckt und blockiert. Sie wurden geschützt, der Schutz passierte jedoch relativ spät im Shopping-Prozess, nämlich nachdem Sie bereits einige Zeit im infizierten Shop unterwegs waren, Ihren Warenkorb gefüllt haben und sich dann daran gemacht haben, zur Kasse zu gehen, um zu bezahlen. An dieser Stelle haben wir uns dann eingeklinkt. Damit Sie nicht mehr so viel Zeit verschwenden, blocken wir nun die gesamte Webseite.

Bei Interesse finden Sie weiterführende Informationen zu „shanghaied“ Shops“ auf den folgenden Webseiten:

Bleiben Sie sicher und schützen Sie sich gegenseitig,
Thorsten Sick.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser