Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSkimming: Mindestens 1.000 deutsche Online-Shops infiziert
..oder auch nicht. Ich kaufe nicht wenig online ein, auch lieber bei "kleinen Shops" als Amazon das Geld in den Rachen zu werfen oder Drückergebühr an die abzutreten, aber in den Listen steht kein einziger davon
Ich verstehe nicht warum man bei Urheberrechtsverstößen die Provider zu sperren zwingen kann, in solchen Fällen aber nicht.
Alle betroffenen Seiten sollten sofort von den Providern gesperrt werden, dann werden die Shopbetreiber schon draufkommen dass Sie was machen sollten.
Ich werde ja immer wieder paranoid genannt, weil ich nur sehr ungern im Internet einkaufe und stets nur Bar bezahle, weil ich mir um meine Daten Gedanken mach. Tjoa. =P
@ Pitviper
Nicht nur die .at und .ch kommen dazu, sondern auch die Shops, die .com oder eine andere Toplevel-Domain benutzen. Die Liste gilt nur für .de Domains, aber ob das wirklich alle betroffenen Seiten sind?
Es sollte mal ein Gesetz eingeführt werden, das gleich nach dem Aufrufen solcher
Shops ein riesiger Hinweis erscheint, das die Software nicht die letzten Sicherheitspatches hat.
Technisch betrachtet ist es kein MitM-Angriff, sondern Cross Site Scripting: Der Schadcode wird über eine Sicherheitslücke so in die Shopsoftware eingeschleust, dass er zusammen mit dem Rest der Website an den Kunden ausgeliefert und in dessen Browser ausgeführt wird. Ein uralter Klassiker der Web-Exploits, der einfach nicht totzukriegen ist.
Warum dieser spezielle Trick als "Online-Skimming" bezeichnet wird, erklärt der verlinkte Blogpost: In beiden Fällen werden legitime Dienste manipuliert, um Kartendaten abzugreifen - der Javascript-Schadcode übernimmt die Rolle des Skimmers.
Was genau nützt dem Leser diese News ohne eine aktuelle Liste der betroffenen Shops?
Da soll man als Nutzer permanent auf seine Passwörter achten und dann? Dann greift der deutsche "Verbraucherschutz" wie man ihn kennt - nämlich gar nicht.
Warum dieser spezielle Trick als "Online-Skimming" bezeichnet wird, erklärt der verlinkte Blogpost: In beiden Fällen werden legitime Dienste manipuliert, um Kartendaten abzugreifen - der Javascript-Schadcode übernimmt die Rolle des Skimmers.
Na ja, schwache Begründung für die Benennung, wenn man das Ergebnis und nicht den Weg anführt. :/ Mit MitM oder XSS kann ich da weit besser leben. Und „legitimer Dienst manipuliert“ ist viel zu weit gefaßt – da könnte man alles gleich hacking nennen.
Wenn das ganze seit Oktober bekannt ist und kein Shop es für nötig hält seinen Onlineshop upzudaten, warum dann nicht einfach einen Liste mit allen betroffenen Shops auflisten? Der Kunde ist damit gewarnt (schließlich geht es da um seine Daten) und die Shops haben mehr Druck durch ausbleibende Bestellungen.
Sobald es um Kreditkartendaten geht ist eh Schluss. Da stehen dann Visa, Mastercard und Co mit Forensikfirmen bei dir vor der Tür und nehmen den Shop auseinander.
Passiert aber leider nicht um die Kunden zu schützen, sondern weil´s dann an die Kohle der genannten Firmen geht...
Hallo an alle,
hab mich extra angemeldet, um ne Frage zu stellen.
Hab bei einem der Shops bestellt, allerdings per Amazon Marketplace. Die Daten werden ja anscheinend bei Eingabe während des Bestellvorgangs auf der Shop-Homepage abgegriffen. Somit dürfte diese Lücke für Bestellungen per Amazon nicht relevant sein? Hoffe ich zumindest...
Unter der .ch Domain gibt es den Shop watchzone.ch. Dieser müllt aktuell mit seiner Werbung Facebook zu. Dazu haben sie also scheinbar Geld, aber nicht für das Einspielen von ein paar Updates? Lächerlich solche Läden.
@toriel
Die Kaufabwicklung läuft ja über Amazon ab, sprich das Eingeben deiner Logindaten und Zahlungsdaten. Von daher sehe ich da kein Zusammenhang. Dürfte kein Problem sein.
