Formjacking
Was ist Formjacking?
FormjackingAngriff, bei dem boesartiges JavaScript Formularuebermittlungen im Browser des Opfers abfaengt und die eingegebenen Daten an einen Server des Angreifers schickt.
Formjacking zielt auf jedes HTML-Formular - Login, Checkout, Profilaenderung - indem es den Submit-Vorgang im Browser des Nutzers kapert. Der Angreifer kompromittiert eine verwundbare Webanwendung, einen Admin-Account oder ein Third-Party-Skript (Chat-Widget, Analytics, A/B-Test) und fuegt JavaScript ein, das sich an Submit- oder Keyup-Events haengt. Credentials, Kartennummern, Adressen oder PII werden an einen entfernten Endpunkt geschickt, waehrend die normale Anfrage weiterhin funktioniert - dem Nutzer faellt nichts auf. Magecart und der British-Airways-Vorfall sind Lehrbuchbeispiele. Schutz: Content Security Policy, Subresource Integrity, clientseitiges Runtime-Monitoring (Akamai Page Integrity, Jscrambler) und die PCI-DSS-v4.0-Anforderungen zur Skript-Integritaet.
● Beispiele
- 01
Ein injiziertes Skript auf einer Login-Seite erfasst Benutzernamen und Passwoerter beim Absenden.
- 02
Ein Angreifer manipuliert eine Shopify-Checkout-App und exfiltriert Adress- und Kartendaten ueber ein gefaelschtes Analytics-Beacon.
● Häufige Fragen
Was ist Formjacking?
Angriff, bei dem boesartiges JavaScript Formularuebermittlungen im Browser des Opfers abfaengt und die eingegebenen Daten an einen Server des Angreifers schickt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Formjacking?
Angriff, bei dem boesartiges JavaScript Formularuebermittlungen im Browser des Opfers abfaengt und die eingegebenen Daten an einen Server des Angreifers schickt.
Wie funktioniert Formjacking?
Formjacking zielt auf jedes HTML-Formular - Login, Checkout, Profilaenderung - indem es den Submit-Vorgang im Browser des Nutzers kapert. Der Angreifer kompromittiert eine verwundbare Webanwendung, einen Admin-Account oder ein Third-Party-Skript (Chat-Widget, Analytics, A/B-Test) und fuegt JavaScript ein, das sich an Submit- oder Keyup-Events haengt. Credentials, Kartennummern, Adressen oder PII werden an einen entfernten Endpunkt geschickt, waehrend die normale Anfrage weiterhin funktioniert - dem Nutzer faellt nichts auf. Magecart und der British-Airways-Vorfall sind Lehrbuchbeispiele. Schutz: Content Security Policy, Subresource Integrity, clientseitiges Runtime-Monitoring (Akamai Page Integrity, Jscrambler) und die PCI-DSS-v4.0-Anforderungen zur Skript-Integritaet.
Wie schützt man sich gegen Formjacking?
Schutzmaßnahmen gegen Formjacking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Formjacking?
Übliche alternative Bezeichnungen: Formular-Skimming, Clientseitiger Formulardiebstahl.
● Verwandte Begriffe
- attacks№ 642
Magecart-Angriff
Kategorie digitaler Skimming-Angriffe, bei denen Kriminelle boesartiges JavaScript in E-Commerce-Checkout-Seiten einschleusen, um Zahlungsdaten waehrend der Eingabe zu stehlen.
- attacks№ 1229
Web-Skimmer / E-Skimming
In eine Website eingeschleuster Schadcode, der Zahlungs- oder persoenliche Daten stiehlt, waehrend Kunden sie in die Seite eintippen.
- attacks№ 240
Cross-Site-Scripting (XSS)
Web-Schwachstelle, mit der Angreifer bösartige Skripte in Seiten injizieren, die andere Nutzer öffnen, sodass der Code im Browser des Opfers unter der Origin der Seite ausgeführt wird.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- identity-access№ 230
Credential Harvesting
Das massenhafte Abgreifen von Benutzernamen, Passwörtern, Tokens und anderen Authentifizierungsgeheimnissen, meist für späteren Kontoübernahme oder Weiterverkauf.
- compliance№ 807
PCI DSS
Weltweiter Sicherheitsstandard für Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übertragen, gepflegt vom PCI Security Standards Council.