Sicherheitsforscher haben einen bösartigen Skript auf dem Webshop der ESA gefunden. Das Skript erstellt eine gefälschte Stripe-Seite im Zahlungsvorgang und sammelt Zahlungsdaten. Der Shop ist derzeit nicht verfügbar.

Die Website der Europäischen Weltraumorganisation (ESA) wurde kürzlich mit einem Kreditkarten-Skimmer kompromittiert, wodurch unzählige Personen einem betrügerischen Geldtransfer ausgesetzt wurden. Forscher von Sansec haben ein bösartiges Skript auf dem ESA-Webshop entdeckt, welches eine gefälschte Stripe-Zahlungsseite im Checkout erstellt und Kundendaten sammelt. Dabei wurden auch sensitive Kreditkartendaten erfasst, was diesen Angriff besonders gefährlich macht.

Außer Kontrolle der ESA?
Die sensiblen Daten wurden gesammelt und an eine Domain mit demselben Namen wie die legitime ESA-Domain gesendet, berichtet BleepingComputer. Die Top-Level-Domain war jedoch anders, anstelle des üblichen .com TLD gab es hier die Domain .pics. Sobald Sansec den Angriff entdeckte, informierten sie die ESA, die den Shop vorübergehend schloss. Zum Zeitpunkt der Pressemitteilung war er immer noch offline und zeigte den Fehler 503: Dienst nicht verfügbar. „Unsere Seite ist vorübergehend außerhalb der Umlaufbahn für aufregende Renovierungen“, sagt der Shop. „Bitte kommen Sie später wieder vorbei.“ In Antwort auf die Anfrage von BleepingComputer erklärte die ESA, dass der Shop nicht auf ihrer Infrastruktur gehostet wird und sie somit nicht für die Datenverwaltung verantwortlich sind. „Dies könnte mit einem einfachen Whois-Lookup bestätigt werden, der vollständige Details für die ESA-Domain (esa.int) und ihren Webshop zeigt, wo die Kontaktinformationen aus Datenschutzgründen geschwärzt sind“, schloss BleepingComputer. Bisher hat keine Tätergruppe die Verantwortung für diesen Angriff übernommen, und bei dieser Art von Vorfällen tun sie das selten. Allerdings ist Magecart eine weltweit bekannte, berüchtigte Tätergruppe, die in der Vergangenheit beobachtet wurde, wie sie Kreditkartenskimmer auf großen Websites installierte. Das letzte Mal hörten wir von Magecart im März 2023, als Malwarebytes spekulierte, dass die Gruppe möglicherweise hinter dem Angriff auf mehrere Online-Einzelhandelsgeschäfte steckt. Wenn Gauner die Kreditkarten von Menschen benutzen, können die Opfer eine Rückerstattung von ihrer Bank erhalten. Cyberkriminelle können jedoch das Geld für Werbekampagnen verwenden, die mehr Malware verteilen, und bis die Karten gesperrt sind und die Gelder zurückgegeben werden, ist der Schaden bereits angerichtet.