icon bookmark-bicon bookmarkicon cameraicon checkicon chevron downicon chevron lefticon chevron righticon chevron upicon closeicon v-compressicon downloadicon editicon v-expandicon fbicon fileicon filtericon flag ruicon full chevron downicon full chevron lefticon full chevron righticon full chevron upicon gpicon insicon mailicon moveicon-musicicon mutedicon nomutedicon okicon v-pauseicon v-playicon searchicon shareicon sign inicon sign upicon stepbackicon stepforicon swipe downicon tagicon tagsicon tgicon trashicon twicon vkicon yt

Hacker erschleichen Kreditkartendaten über gefälschte Chrome-Erweiterung für "Flash"

Hacker erschleichen Kreditkartendaten über gefälschte Chrome-Erweiterung für "Flash"
Hacker erschleichen Kreditkartendaten über gefälschte Chrome-Erweiterung für "Flash" (Symbolbild)
Wissenschaftler aus dem Bereich der Internetsicherheit warnen ahnungslose Internetnutzer vor einer Chrome-Erweiterung, die bereits seit einem Jahr aktiv ist. Sie wird von Kriminellen als Werkzeug genutzt, um Kreditkartendaten von infizierten Benutzern über Webformulare auf besuchten Websites zu stehlen.

Die betrügerische Erweiterung wird durch JavaScript Injection-Angriffe verbreitet. In denen heißt es etwa "Sie haben kein Flash installiert, verwenden Sie stattdessen diese Chrome-Erweiterung" oder ähnlich. Wenn ahnungslose oder unvorsichtige Benutzer auf diese Links klicken, werden diese automatisch an die Schadsoftware weitergeleitet.

Die seit Februar 2018 verfügbare Erweiterung nutzt die API-Funktionalität (Application Programming Interface) auf Websites, indem sie den digitalen Handshake zwischen Benutzer und Website unterbricht, wenn eine HTTP-Anfrage gestellt wird, wie zum Beispiel das Anklicken eines Links oder das Absenden eines Formulars. Sie kann nicht durch eine regelmäßige Suche gefunden werden und wird stattdessen nur durch das Weitergeben beziehungsweise Teilen eines Links verbreitet.

Die von dem oder den Hackern fbsgang.info erstellte Erweiterung gibt sich als "Flash Reader" aus und bindet eine Funktion in jede einzelne Website ein, die von dem jeweiligen Nutzer besucht wird.

Wann immer diese eine Kartennummer erkennt, die in ein für die Kartenformate Visa, Mastercard, American Express oder Discovery spezifisches Webformular eingegeben wird, leitet sie diese automatisch über eine AJAX-Anfrage an den Angreifer weiter (im Wesentlichen eine Nachricht, die direkt mit dem Server kommuniziert, ohne die Anzeige oder das normale Verhalten der aktiven Webseite zu unterbrechen).

Die gestohlenen Informationen beinhalten neben der Kartennummer, den Namen der ausstellenden Bank, das Gültigkeitsdatum sowie den CVV/CVC-Code.

Die gute Nachricht ist, dass die Infektion nicht weit verbreitet ist, da nur 400 Installationen erkannt wurden, was bedeutet, dass ihre Reichweite begrenzt ist.

Google wurde Anfang letzten Jahres von der Cybersicherheitsfirma ElevenPaths alarmiert, aber die unzulässige Erweiterung existierte noch bis vor kurzem weiter im Web Store. Der Server, der vom Betreiber der Schadsoftware verwendet wird, ist derzeit ausgefallen. Es kann sich jedoch um eine vorübergehende Maßnahme handeln, während die Gruppe unter Beobachtung steht oder während sie einen anderen Server vorbereitet, auf den sie ahnungslose Benutzer umleiten kann.

Es kann sich auch um einen Vorläufer für eine viel größere Operation handeln.

Mehr zum ThemaGrößte jemals gestohlene Sammlung von Zugangsdaten im Netz aufgetaucht

Folge uns aufRT
RT

Diese Webseite verwendet Cookies. Klicken Sie hier, um mehr zu erfahren

Cookies zulassen