Tracking-Skripte stehlen Kreditkartendaten: So kannst du dich schützen

Hacker manipulieren Tracking-Skripte von Drittanbietern, um auf zahlreichen Websites Kreditkartendaten abzugreifen. Cliqz und Ghostery blockieren diese Skripte.

Trackers who steal

Björn GreifRedakteur

Auf nahezu allen Websites finden sich heutzutage Tracker, die Daten über dich sammeln und dein Surfverhalten überwachen. Meist geschieht das zu Analyse-, Marketing- oder Werbezwecken. Tracker stellen aber nicht nur eine Gefahr für deine Privatsphäre dar, sondern teilweise auch ein ernsthaftes Sicherheitsrisiko. Daher solltest du sie in jedem Fall blockieren – selbst, wenn du meinst, dass du nichts zu verbergen hast.

Im Lauf dieses Jahres wurde unter dem Namen „Magecart“ eine Reihe von Angriffen bekannt, bei denen Hacker bösartige Skripte auf E-Commerce-Websites platziert haben, um Kreditkartendaten zu stehlen. Davon betroffen waren unter anderem Seiten von British Airways, Ticketmaster, NewEgg, VisionDirect und Southeby’s. Insgesamt sind es einige Hundert. Angreifer erbeuteten auf diese Weise Zahlungsinformationen von Millionen Verbrauchern.

Vorsicht bei Tracking-Skripten auf Bezahlseiten!

Allen Angriffen gemein ist, dass ein bösartiges Skript als Einstiegspunkt dient. Wenn solch ein Skript auf einer Bezahlseite platziert wird, kann der Angreifer alle eingegebenen Daten auslesen, einschließlich Kreditkartennummer und Prüfziffer (CVC/CVV).

Um möglichst schnell möglichst viele Websites zu infizieren, fügen Hacker bevorzugt Schadcode in Skripte von Drittanbietern ein, die auf vielen verschiedenen Websites eingebunden werden. Daher stellt jedes Skript, das auf einer Bezahlseite geladen wird, ein potenzielles Sicherheitsrisiko dar. Entsprechend kritisch ist der inflationäre Gebrauch von Drittanbieter-Skripten zu betrachten, die von Seitenbetreibern oft zu unbedacht und leichtfertig in ihre Websites eingebunden werden.

Mit Cliqz und Ghostery bist du geschützt

Bei allen Angriffen dieser Art werden die gestohlenen Daten an einen Server gesendet und dort gesammelt. Kennt man die Serveradresse, kann man sie auf eine Blockliste setzen und so verhindern, dass der Browser Daten an diesen Server sendet. Selbst wenn Websites mit bösartigem Code infiziert wurden, kann dieser den Server des Hackers daher nicht kontaktieren.

Cliqz und Ghostery setzen in ihren Browsern und Anti-Tracking-Tools bereits eine solche Blockliste ein, um entsprechende Serveradressen zu sperren. Nutzer sind somit vor dem Diebstahl ihrer Kreditkartendaten durch Magecart-Angriffe geschützt.

Eine Analyse der Angriffsmethoden sowie eine Liste von Websites, die im November 2018 von solchen Angriffen betroffen waren, findest du im Artikel „The Trackers Who Steal“ auf WhoTracks.me.