Magecart bezieht sich auf ein Cyber-Kriminalsyndikat, das sich auf Cyber-Angriffe spezialisiert hat, bei denen digitale Kreditkarten durch Abschöpfen von Online-Zahlungsformularen gestohlen werden. Der jüngste Angriff, der im letzten Jahr in den Medien für Aufsehen sorgte, betraf den Fotohändler Focus Camera.
Deren Website wurde von Magecart-Angreifern gehackt, die einen bösartigen Code einschleusten, der die Zahlungskartendaten der Kunden stahl – das Skript wurde an der Kasse geladen, um die Rechnungsdaten zu erfassen und an den Server des Angreifers zu senden.
Focus Camera reiht sich damit in die wachsende Liste bekannter Unternehmen ein, die im letzten Jahr ähnlichen Angriffen zum Opfer gefallen sind (British Airways, Newegg, Macy’s), wobei in der Regel Hunderttausende von Kunden ihre Kartendaten gestohlen haben.
Beim Magecart-Kreditkarten-Skimming wird der Code des böswilligen Skimmers häufig bei Drittanbietern des Zielunternehmens eingefügt (was als webbasierte Lieferkettenangriffe bekannt geworden ist).
Die Angriffe auf British Airways, aber auch auf Equifax, Forbes und Tausende anderer Unternehmen erfolgten alle über bösartigen Code, der über Drittanbieter in die Unternehmenswebsites eingeschleust und dann in den Browsern der Nutzer ausgeführt wurde. Auf diese Weise ist die Website oder Webanwendung eines Unternehmens zur perfekten Bühne geworden, von der aus Kundendaten gestohlen werden können.
Nicht zu vergessen ist auch der enorme finanzielle Schaden für die angegriffenen Unternehmen. Nach dem Angriff auf British Airways wurde beispielsweise bekannt, dass das Information Commissioner’s Office (das für die Wahrung der Informationsrechte des Vereinigten Königreichs im öffentlichen Interesse zuständig ist) die Absicht hatte, British Airways (BA) wegen Verstößen gegen die DSGVO mit einer Geldstrafe in Höhe von 183,39 Millionen Pfund zu belegen.
BA bot zwar an, Kunden zu entschädigen, die infolge des Verstoßes einen finanziellen Schaden erlitten haben, räumte aber nie die Haftung für diesen Verstoß ein.
Der Reputationsschaden, der durch einen derartig aufsehenerregenden Angriff entstanden ist, lässt sich nur schwer berechnen, und es gibt Anzeichen dafür, dass Unternehmen, die sich um die Entschädigung der betroffenen Personen bemühen, eine Art Auszahlungsszenario à la PPI anstreben. Es steht also sehr viel auf dem Spiel.
Was können Unternehmen also angesichts solch groß angelegter Angriffe mit so weitreichenden Folgen tun?