BLOG

Clientseitige Verteidigung: Das fehlende Teil in Ihrer Urlaubssicherheitsrüstung

Jim Downey Miniaturbild
Jim Downey
Veröffentlicht am 09. Dezember 2022

Die Online-Weihnachtseinkaufssaison ist in vollem Gange und E-Commerce-Händler rechnen mit starken Verbraucherausgaben: Laut einem Bericht von Retail Info Systems prognostiziert Deloitte, dass die E-Commerce-Umsätze in der Weihnachtssaison 2022–2023 im Vergleich zum Vorjahr um 12,8 bis 14,3 % wachsen und einen Gesamtumsatz zwischen 260 und 264 Milliarden US-Dollar erreichen werden.

Das bedeutet eine Menge Aktivität in Ihren E-Commerce-Apps – und diese kommt nicht nur von fröhlichen Weihnachtselfen, die ihre Einkaufslisten prüfen.

Dies ist auch die Zeit des Jahres, in der Cyberbedrohungsakteure ihre Aktivitäten verstärken und versuchen, vom Anstieg der Online-Weihnachtseinkäufe zu profitieren.

Demnächst in einem Browser in Ihrer Nähe: Clientseitige Cyberbedrohungen

Clientseitige Sicherheitsangriffe sind so weit verbreitet und gefährlich geworden, dass OWASP eine neue Top-10-Liste browserbasierter Sicherheitsbedrohungen zusammengestellt hat. Dazu zählen zahlreiche clientseitige Exploits, die E-Commerce-Sites in der Weihnachtssaison bedrohen, wie etwa Formjacking, Digital Skimming, Magecart und andere browserbasierte JavaScript-Schwachstellen, die durch die Abhängigkeit von JavaScript-Quellen von Drittanbietern entstehen.

Um das Kundenerlebnis zu verbessern, betten dynamische E-Commerce-Websites Drittanbietercode in ihre Apps ein, um allgemeine Funktionen wie Zahlungsformulare, Chatbots, Werbung, Schaltflächen zum Teilen in sozialen Netzwerken und Tracking-Skripte zu ermöglichen. Diese JavaScript-Funktionen bieten sofort einsatzbereite Funktionalität, beschleunigen die Markteinführung und geben Entwicklungsressourcen frei. Allerdings entsteht dadurch auch „Schattencode“ – Code, den Sie nicht geschrieben haben, den Sie nicht kontrollieren können, der sich ohne Ihr Wissen ändert und der die Sicherheitsüberprüfungen Ihres Unternehmens nicht durchläuft. Ohne Einblick in den Code, der in Ihrer Umgebung ausgeführt wird, können Unternehmen nicht erkennen, wann Code geändert oder kompromittiert wurde. Diese Skripte bieten Bedrohungsakteuren eine breite Angriffsfläche, die sie ausnutzen können, wodurch es zu Sicherheitsvorfällen kommen kann, die direkt im Browser des Kunden auftreten, ohne dass der Benutzer oder der Händler davon etwas mitbekommt.

Arten von clientseitigen Angriffen

Clientseitige Angriffe werden gestartet, um Benutzersitzungen abzufangen und zu manipulieren. Dabei geht es um die Übernahme der Kontrolle über Websites und deren Verunstaltung, die Durchführung von Phishing-Angriffen, die Anzeige gefälschter Inhalte, die Erstellung neuer Formulare, das Entführen legitimer Formulare, in denen der Benutzer aufgefordert wird, seine Sozialversicherungsnummer oder Bankkontodaten anzugeben, oder die Übernahme des Benutzerkontos. Erfasste Daten werden normalerweise auf den Befehls- und Kontrollserver des Angreifers exfiltriert.

Es gibt verschiedene Arten von clientseitigen Angriffen, die darauf abzielen, JavaScript-Dateien von Drittanbietern auszunutzen.

Magecart-Angriffe sind wahrscheinlich die bekanntesten. Magecart ist ein weiter gefasster Begriff für eine Reihe von Angriffen auf die Software-Lieferkette, darunter Formjacking und Digital Skimming (auch E-Skimming genannt). Dabei werden personenbezogene Daten (meist Kundendaten und Kreditkarteninformationen) aus Online-Zahlungsformularen gestohlen. Laut dem Application Protection Report 2022 von F5 Labs: Bei der Erwartung einer Exfiltration machten Formjacking-Angriffe den Großteil der Web-Exploits aus, die zur Offenlegung von Sicherheitsverletzungen führten.

Kriminelle nutzen die erfassten Kundendaten in der Regel für böswillige Zwecke, etwa für Identitätsdiebstahl oder die Übernahme von Konten. Sehr häufig nutzen sie die Daten aber auch einfach, um sie zu sammeln und als Datendumps im Dark Web zu verkaufen.

Best Practices zur Abwehr von clientseitigen Angriffen

Clientseitige Angriffe werden für Online-Organisationen auch weiterhin eine Herausforderung bleiben, solange Kriminelle in der Lage sind, Schadcode in Webanwendungen einzubetten. Besonders während der Feiertage können diese Angriffe großen Schaden anrichten, wenn sowohl die Käufer als auch Ihre Cybersicherheitsteams bereits mit zahlreichen anderen Problemen zu kämpfen haben. Angesichts der Tatsache, dass nur wenige Unternehmen sich dieser Art von Angriffen bewusst sind und nur wenige geeignete Abwehrmethoden eingerichtet haben, um diese Angriffe zu erkennen und zu vereiteln, werden Angreifer auch weiterhin Erfolg haben.

Hier sind jedoch einige Best Practices, die Sie implementieren können, um das clientseitige Risiko zu mindern:

  • Führen Sie eine Bestandsaufnahme des Skripts durch. Erstellen Sie ein Inventar aller auf Ihrer Site eingebetteten Skripte, ermitteln Sie, wem sie gehören und wer sie autorisiert, wofür sie verwendet werden und wie sie verwaltet werden. Hierzu zählen sowohl direkt in das HTML der Seiten eingefügte Skripte als auch über Tag-Manager hinzugefügte Skripte. Informieren Sie sich über die Funktion des von Ihnen implementierten Drittanbietercodes und darüber, ob dieser auf vertrauliche Daten zugreift oder kritische Funktionen ausführt. Organisationen benötigen nicht nur Einblick in das JavaScript auf ihrer Site, sie müssen auch wissen, was die Skripte sammeln, um Verstöße gegen Datenschutzbestimmungen wie die DSGVO der Europäischen Union und den California Consumer Privacy Act (CCPA) zu vermeiden und die Einhaltung der kommenden PCI DSS-Anforderungen 6.4.3 und 11 sicherzustellen.
  • Richten Sie einen Rahmen für das Risikomanagement Dritter ein. Richten Sie eine Governance-Struktur zum Hinzufügen, Überwachen und Warten von Skripten ein, um die Integrität jedes Skripts sicherzustellen. Erstellen Sie einen Prozess, mit dem Sie erkennen können, wann eine Anforderung von PII oder anderen vertraulichen Informationen das Senden von Daten an eine neue Domäne beinhaltet.
  • Wenden Sie Zero Trust an . Verwenden Sie für alle Skripte auf Ihrer Site einen Zero-Trust-Ansatz. Schenken Sie niemals jemandem uneingeschränktes Vertrauen. Richten Sie die Möglichkeit ein, das Hinzufügen eines neuen Skripts oder die Änderung eines vorhandenen Skripts zu überwachen, zu erkennen und zu warnen. Erkennungstechniken wie Sub-Resource Integrity (SRI) und Content Security Policy (CSP) sind zwar immer noch nützlich, reichen jedoch nicht mehr aus, um die sich ständig ändernden Web-Anwendungen von heute zu schützen. Organisationen, die Zero Trust implementierten, verzeichneten im Falle einer Datenschutzverletzung 20,5 % geringere Kosten als Unternehmen, die Zero Trust nicht verwendeten.
  • Entwickeln Sie eine Strategie zur schnellen Schadensbegrenzung. Informieren Sie sich über die Erstellung eines einfachen Ein-Klick-Minderungsprozesses, mit dem Sie Skriptänderungen und Warnungen auf einem interaktiven Dashboard überprüfen können – mit einem Tool, das Netzwerkaufrufe, die in böswilliger Absicht Daten exfiltrieren, mit einem Klick blockiert.

Abschluss: Übersehen Sie in der Weihnachtszeit nicht die Gefahr clientseitiger Angriffe

Wenn sich Kunden während der Feiertage in ihre Konten auf Ihrer E-Commerce-Website einloggen, vertrauen sie Ihnen ihre sensiblen persönlichen Daten an. Ergreifen Sie die erforderlichen Schritte, um sicherzustellen, dass die in Ihrer E-Commerce-Umgebung ausgeführten Skripts von Drittanbietern keinen Schaden anrichten.

Schützen Sie Ihr Unternehmen und Ihre Kunden vor clientseitigen JavaScript-Exploits mit F5 Distributed Cloud Client-Side Defense , einer Überwachungs- und Schadensbegrenzungslösung, die Kundenanmeldeinformationen, Finanzdaten und persönliche Informationen vor Magecart, Formjacking und anderen clientseitigen Supply-Chain-Angriffen schützt. Dieser SaaS-basierte Dienst lässt sich schnell und einfach implementieren, bietet sofortigen Mehrwert, schützt die persönlichen und finanziellen Daten Ihrer Kunden vor Kriminellen und verhindert Datenverluste, die das Vertrauen der Verbraucher untergraben würden.

Erfahren Sie mehr, indem Sie sich das Video „Wie sich Händler gegen Magecart-Angriffe verteidigen können“ ansehen und diese Demo der F5 Distributed Cloud Client-Side Defense einschalten.

Lassen Sie nicht zu, dass kompromittierte JavaScript-Quellen Ihrem Unternehmen und Ihren Kunden die Feiertage verderben.