PCI DSS v4.0 – Die wichtigsten Neuerungen im Überblick: Schutz vor Web-Skimming

22. September 2022

Am 31.03.2022 veröffentlichte das Payment Card Industry Security Standards Council (PCI SSCVersion 4.0 des PCI DSS – das umfangreichste Update des Standards seit Version 1.0. Um Ihnen den Übergang zu vereinfachen, werfen wir in unserer Postreihe einen genaueren Blick auf die wichtigsten Neuerungen, die PCI DSS v.4.0 mit sich bringt. Im dritten Teil betrachten wir die neuen Anforderungen zum Schutz vor Web-Skimming-Angriffen

Das Risiko, Opfer eines Web-Skimming-Angriffs zu werden, stellt Unternehmen, die Waren oder Dienstleistungen im Onlinegeschäft anbieten, vor ein großes Problem. Schon heute bilden solche Angriffe einen großen Anteil aller kriminellen Attacken auf Zahlungskartendaten im Internet. Sie sind verhältnismäßig einfach auszuführen und bleiben dem Händler und dem Karteninhaber in der Regel verborgen. Aus diesem Grund enthält die neueste Version 4.0 des PCI DSS nun Anforderungen, die darauf abzielen, diese Art von Angriffen zu verhindern und zu erkennen.

Was ist Web-Skimming?

Bevor wir uns mit den Einzelheiten der Bekämpfung von Web-Skimming-Bedrohungen befassen, ist es wichtig zu wissen, was diese eigentlich sind.

Beginnen wir mit dem traditionellen Skimming oder Kopieren von Kreditkarten. Von Skimming-Angriffen auf POS-Terminals und Geldautomaten hören wir in der Presse häufig. Bei diesen Angriffen verwenden die Angreifer versteckte Kartenlesegeräte und PIN-Pads, um Kreditkarten und PIN-Nummern zu kopieren. Die gestohlenen Kreditkartendaten werden dann beispielsweise im Darknet verkauft und häufig für den Kauf von Waren in Webshops verwendet. Oft werden mit gestohlenen Karten illegale Produkte wie Waffen oder Drogen gekauft.

Web-Skimming ist das digitale Abschöpfen von Kreditkartendaten in E-Commerce-Shops oder Webshops. Anstatt POS-Terminals oder Geldautomaten zu manipulieren, injiziert der Angreifer JavaScript-Skimming-Code direkt in den Webshop oder in Dienste von Drittanbietern. Kreditkarteninformationen und persönliche Daten werden so, häufig unbemerkt, abgefangen.

Web-Skimming – Angriffsvektoren

Es gibt mehrere Varianten von Web-Skimming-Angriffen, die die Komplexität moderner Websites ausnutzen. Dabei gibt es drei Vektoren, über die solche Angriffe ausgeführt werden können:

Erster Angriffsvektor: Skimming-Code wird in reguläre Skripte direkt auf der Webseite des Webshops eingefügt.

Zweiter Angriffsvektor: Skimming-Code wird in den Inhalt eines Drittanbieters eingeschlossen und dieser kompromittierte Inhalt wird dann in die Webseite geladen – zum Beispiel als externe Skripte, Bibliotheken oder Plug-Ins. Bei den Inhalten von Drittanbietern handelt es sich oft um Analysetools, unterstützende Tools oder Werbung.

Dritter Angriffsvektor: Kompromittierte Skripte werden in Content-Delivery-Netzwerke eingebunden. So wird beispielsweise Skriptcode in falsch konfigurierte Amazon S3-Buckets mit öffentlichen Schreibberechtigungen eingebunden.

Prominentes Beispiel: Web-Skimming-Angriff auf British Airways

Im September 2018 verkündete British Airways, dass etwa 380.000 Zahlungskartendaten, darunter Namen, Adressen, Bankkartendaten und CVV-Codes von 500.000 Kunden, kompromittiert wurden. Dieser Angriff, der sich zwischen August und September 2018 ereignete, wurde wiederum der berüchtigten Magecart-Gruppe zugeschrieben, die Malware in die Gepäckabfertigungsseite auf der BA-Website einfügte. Der Sprecher von British Airways bestätigte auch, dass der Web-Skimmer, der auf der Website verwendet wurde, auch für den Browser der mobilen Anwendung genutzt wurde. Die DSGVO-Regulierungsbehörden der Europäischen Union verhängten eine Geldstrafe in Höhe von 230 Millionen Dollar und führten dies auf die mangelhaften Sicherheitsmaßnahmen auf der British Airways-Website zurück. Die Verhängung strenger Geldstrafen macht die Unternehmen für jede Datenverletzung verantwortlich, die von Drittanbietern auf ihrer Website verursacht wird.

Quelle: https://www.bbc.com/news/uk-england-london-45440850

Maßnahmen gegen Web Skimming

Neben bekannten und bewährten Sicherheitsmaßnahmen, wie

  • regelmäßige Updates und Patches aller Systeme,
  • Serverhärtungsmaßnahmen,
  • regelmäßig durchgeführte Schwachstellen-Scans,
  • starke Authentifizierung,
  • Web Application Firewall (WAF)
  • und Intrusion Detection/Prevention-Systeme,

ist der Umgang mit Skripten zur Verhinderung von Web-Skimming-Angriffen von wichtiger Bedeutung.

Unternehmen sollten Skripte auf Bezahlseiten reduzieren oder sogar vermeiden – das gilt insbesondere für extern geladene Skripte.

Beim Laden von externen Skripten sollten Unternehmen Skripte von Drittanbietern herunterladen und in ihre Website einbinden, anstatt nur Skript-URLs einzubetten. Dies hat den Vorteil, dass das Skript unter der eigenen Kontrolle des Unternehmens bleibt und der Angriffsvektor des Drittanbieters reduziert wird. Wird hingegen nur die URL zum Einbetten des Skripts verwendet und  das Skript des Drittanbieters von einem Angreifer verändert, wird beim Aufrufen der URL das kompromittierte Skript geladen.

Auch die Handhabung von Skripten sollte optimiert werden. Unternehmen sollten nur Skripte aus vertrauenswürdigen Quellen laden und den Inhalt des Skriptcodes immer eingehend prüfen.

Um unerwünschte Skriptänderungen zu vermeiden, sollten Skripte durch eine Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) geschützt werden. Wenn ein Angreifer ein Skript ändert, informiert die FIM-Lösung über die Änderung und Unternehmen können auf die Manipulation reagieren.

PCI DSS-Anforderungen zum Schutz vor Web-Skimming

Version 4.0 des PCI DSS erhält erstmalig zwei konkrete Anforderungen, mit denen das Risiko von Web-Skimming-Angriffen vermindert werden soll. Diese gelten mit Inkrafttreten der neuen Version des Standards zunächst als Best Practice. Verbindlich umzusetzen sind sie ab dem 31. März 2025.

Anforderung 6.4.3

Diese Anforderung zielt darauf ab, das Risiko zu verringern, dass Web-Skimming-Skripte in die Zahlungsseite eingefügt werden können, um Karteninhaberdaten (PANs) durch Angreifer aus dem Kundenbrowser auszulesen. Sie gilt sowohl für alle Skripte, die aus der Umgebung des Unternehmens geladen werden als auch für Skripte, die von Drittanbietern geladen werden.

Anforderung:

Alle Zahlungsseitenskripte, die im Browser des Verbrauchers geladen und ausgeführt werden, werden wie folgt verwaltet:

  • Es wird eine Methode implementiert, um zu bestätigen, dass jedes Skript autorisiert ist.
  • Es wird eine Methode implementiert, um die Integrität jedes Skripts sicherzustellen.
  • Es wird ein Inventar aller Skripte mit schriftlicher Begründung geführt, warum jedes benötigt wird.

Quelle: PCI DSS: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0-DE.pdf

Anforderung 11.6.1

Diese Anforderung zielt darauf ab, Web-Skimming-Angriffe zu verhindern, indem eine Erkennung von Veränderungen oder Anzeichen für bösartige Aktivitäten im Browser des Kunden ermöglicht wird. Um dies zu gewährleisten, soll der Client die Bezahlseite in regelmäßigen Abständen laden und die aktuelle Version des HTTP-Headers und den aktiven Inhalt der Bezahlseiten mit früheren oder bekannten Versionen, die im Browser des Kunden empfangen werden, vergleichen.

Anforderung:

Ein Änderungs- und Manipulationserkennungsmechanismus wird wie folgt eingesetzt:

  • Um das Personal über nicht autorisierte Änderungen (einschließlich Anzeichen für Kompromittierung, Änderungen, Ergänzungen und Löschungen) der HTTP-Kopfzeile und des Inhalts von Zahlungsseiten, wie sie vom Verbraucherbrowser empfangen werden, zu warnen.
  • Der Mechanismus ist so konfiguriert, dass er die empfangene HTTP-Kopfzeile und die Zahlungsseite bewertet.
  • Die Mechanismusfunktionen werden wie folgt durchgeführt: – Mindestens einmal alle sieben Tage. ODER – Regelmäßig (in der Häufigkeit, die in der gezielten Risikoanalyse der Entität definiert ist, die gemäß allen in Anforderung 12.3.1 angegebenen Elementen durchgeführt wird

Quelle: PCI DSS: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0-DE.pdf

Blick in die Zukunft

Web-Skimming-Angriffe sind für Cyberkriminelle durchaus lukrativ. Dabei erfordert ihre Ausführung kaum tiefere technische Kenntnisse – sie können mit frei verfügbaren Tools angepasst auf alle gängigen Webshop-Plattformen leicht ausgeführt oder direkt als Dienstleistung im Darknet beauftragt werden. Es ist daher nur zu erwarten, dass der Umfang von Web-Skimming-Angriffen auch in der Zukunft weiter zunehmen wird. Für Unternehmen ist es deshalb von entscheidender Bedeutung, sich durch effiziente Sicherheitsmaßnahmen vor solchen Angriffen zu schützen.

Die Umsetzung der in diesem Beitrag skizzierten Schutzmaßnahmen und in PCI DSS v4.0 enthaltenen Sicherheitsanforderungen verhilft Unternehmen bereits zu einem deutlich verringerten Risiko, Opfer eines Web-Skimming-Angriffs zu werden. Sollten Sie Unterstützung oder Beratung bei der Umsetzung der Maßnahmen benötigen, steht Ihnen Ihr PCI-DSS-Auditor bei dieser Aufgabe zur Seite.

Auch interessant:

Kategorien

Kategorien