Hacker erschleichen Kreditkartendaten über gefälschte Chrome-Erweiterung für "Flash"
Die betrügerische Erweiterung wird durch JavaScript Injection-Angriffe verbreitet. In denen heißt es etwa "Sie haben kein Flash installiert, verwenden Sie stattdessen diese Chrome-Erweiterung" oder ähnlich. Wenn ahnungslose oder unvorsichtige Benutzer auf diese Links klicken, werden diese automatisch an die Schadsoftware weitergeleitet.
Die seit Februar 2018 verfügbare Erweiterung nutzt die API-Funktionalität (Application Programming Interface) auf Webseites, indem sie den digitalen Handshake zwischen Benutzer und Webseite unterbricht, wenn eine HTTP-Anfrage gestellt wird, wie zum Beispiel das Anklicken eines Links oder das Absenden eines Formulars. Sie kann nicht durch eine regelmäßige Suche gefunden werden und wird stattdessen nur durch das Weitergeben beziehungsweise Teilen eines Links verbreitet.
Die von dem oder den Hackern fbsgang.info erstellte Erweiterung gibt sich als "Flash Reader" aus und bindet eine Funktion in jede einzelne Webseite ein, die von dem jeweiligen Nutzer besucht wird.
Wann immer diese eine Kartennummer erkennt, die in ein für die Kartenformate Visa, Mastercard, American Express oder Discovery spezifisches Webformular eingegeben wird, leitet sie diese automatisch über eine AJAX-Anfrage an den Angreifer weiter (im Wesentlichen eine Nachricht, die direkt mit dem Server kommuniziert, ohne die Anzeige oder das normale Verhalten der aktiven Webseite zu unterbrechen).
Die gestohlenen Informationen beinhalten neben der Kartennummer, den Namen der ausstellenden Bank, das Gültigkeitsdatum sowie den CVV/CVC-Code.
Die gute Nachricht ist, dass die Infektion nicht weit verbreitet ist, da nur 400 Installationen erkannt wurden, was bedeutet, dass ihre Reichweite begrenzt ist.
Google wurde Anfang letzten Jahres von der Cybersicherheitsfirma ElevenPaths alarmiert, aber die unzulässige Erweiterung existierte noch bis vor kurzem weiter im Web Store. Der Server, der vom Betreiber der Schadsoftware verwendet wird, ist derzeit ausgefallen. Es kann sich jedoch um eine vorübergehende Maßnahme handeln, während die Gruppe unter Beobachtung steht oder während sie einen anderen Server vorbereitet, auf den sie ahnungslose Benutzer umleiten kann.
Es kann sich auch um einen Vorläufer für eine viel größere Operation handeln.
Mehr zum Thema - Größte jemals gestohlene Sammlung von Zugangsdaten im Netz aufgetaucht
Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.