Cybersicherheitsexperten von Slashnext haben vor kurzem in einem Blogbeitrag ihren neuesten Fund aus einem russischen Cybercrime-Forum vorgestellt: das bösartige WordPress-Plugin „PhishWP“. Das Phishing-Plugin ermöglicht es Angreifern, die Zahlungsdaten von Online-Shoppern abzugreifen – unerkannt, in Echtzeit und mit erheblichem Schadenspotenzial. Zur Anwendung kommen kann es dabei sowohl in kompromittierten Websites regulärer E-Commerce-Unternehmen als auch in von Angreifern selbst erstellten Fake-E-Commerce-Webseiten.
Entwickelt wurde PhishWP von Cyberkriminellen für Cyberkriminelle. Mit dem Plugin lassen sich Fake-Webseiten von Zahlungsdienstleistern erstellen, die denjenigen ihrer realen Vorbilder täuschend ähnlichsehen. Das Plugin wird dabei so konfiguriert, dass es ein Zahlungs-Gateway imitiert. Die Website zeigt eine vertraute Kassenschnittstelle, ein vertrautes Zahlungsverfahren, an, das dem Original, in Punkto Design, Sprache und Eingabefelder, täuschend ähnlichsieht.
Die kompromittierten und gefälschten E-Commerce-Webseiten sind darauf angelegt, Zahlungskartennummern, Ablaufdaten, CVVs und Rechnungsadressen zu stehlen. Auch Einmal-Passwörter (OTPs), die während einer 3D-Secure (3DS)-Überprüfung eines Bezahlvorgangs gesendet werden, kann das Plugin abfangen. Das Besondere: sobald das Opfer auf der Phishing-Seite mit „Enter“ seine Zahlungsdaten bestätigt, werden diese in Echtzeit an den Telegram-Account der Cyberkriminellen weitergeleitet. Ihnen verbleibt dann ausreichend Zeit, mit den Daten ihres Opfers selbst Einkäufe im Internet zu tätigen oder die noch frischen Daten im Dark Web weiter zu veräußern.
Das perfide am Tool: Nachdem die Angreifer die Zahlungsdaten ihrer Opfer erhalten haben, erhalten diese vom Plugin eine Standard-E-Mail, die den erfolgreichen Abschluss der Transaktion bestätigt. Es können nun also mehrere Tage oder sogar Wochen vergehen, bevor ein Opfer Verdacht schöpft. Dann ist es aber bereits zu spät.
Den Betreibern von E-Commerce-Webseiten kann in Zusammenhang mit PhishWP nur geraten werden, die Sicherheitsmaßnahmen ihrer Verkaufsportale zu erhöhen. Denkbar sind etwa:
- Regelmäßige Updates: WordPress sollte stets auf dem neuesten Stand, sämtliche WordPress-Plugins stets im Blick behalten werden.
- Vertrauenswürdige Plugin-Quellen: Plugins sollten ausschließlich aus vertrauenswürdigen Quellen, wie dem offiziellen Plugin-Repository von WordPress, bezogen werden.
- Sicherheits-Plugins: Zur Überwachung und Absicherung der E-Commerce-Webseite sollten Sicherheits-Plugins installiert werden.
- Zwei-Faktor-Authentifizierung (2FA): Um Angreifern die erfolgreiche Nutzung von PhishWP zu erschweren oder sogar unmöglich zu machen, sollte die Authentifizierung durch eine 2FA gestärkt werden.
Verbraucher wiederum sollten bei ihren Online-Käufen künftig noch vorsichtiger sein. Der richtige Umgang mit verdächtigen Phishing-Benachrichtigungen – mit Angeboten, die zu gut sind, um wahr sein zu können – muss erlernt und trainiert werden. Nicht nur zu Hause, auch am Arbeitsplatz. Werden doch auch hier solche Einkäufe – wenn auch nicht gewünscht vom Unternehmen – zunehmend getätigt; mit den entsprechenden negativen Folgen für dessen Cybersicherheitslage. IT-Verantwortlichen kann deshalb nur geraten werden, ihr Human-Risk-Management (HMR) weiter auf- und auszubauen – und neben der Abhaltung von Schulungen und Trainings nicht den Einbau hochspezialisierter Anti-Phishing-Tools, wie KI-gestützter E-Mail-Sicherheitslösungen, zu vernachlässigen. Anders wird sich der erfolgreiche Einsatz bösartiger Phishing-Tools, wie PhishWP, kaum verhindern lassen.
#KnowBe4
