Sie sind hier: Startseite » IT Security

Von Cyberkriminellen für Cyberkriminelle


Online-Betrug – neues bösartiges WordPress-Plugin hilft, Zahlungsdaten zu stehlen
Mit dem Plugin lassen sich Fake-Webseiten von Zahlungsdienstleistern erstellen, die denjenigen ihrer realen Vorbilder täuschend ähnlich sehen


Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Cybersicherheitsexperten von SlashNext haben vor kurzem in einem Blogbeitrag ihren neuesten Fund aus einem russischen Cybercrime-Forum vorgestellt: das bösartige WordPress-Plugin ‚PhishWP‘. Das Phishing-Plugin ermöglicht es Angreifern, die Zahlungsdaten von Online-Shoppern abzugreifen – unerkannt, in Echtzeit und mit erheblichem Schadenspotenzial. Zur Anwendung kommen kann es dabei sowohl in kompromittierten Websites regulärer E-Commerce-Unternehmen als auch in von Angreifern selbst erstellten Fake-E-Commerce-Webseiten.

Entwickelt wurde PhishWP von Cyberkriminellen für Cyberkriminelle. Mit dem Plugin lassen sich Fake-Webseiten von Zahlungsdienstleistern erstellen, die denjenigen ihrer realen Vorbilder täuschend ähnlich sehen. Das Plugin wird dabei so konfiguriert, dass es ein Zahlungs-Gateway imitiert. Die Website zeigt eine vertraute Kassenschnittstelle, ein vertrautes Zahlungsverfahren, an, das dem Original, in Punkto Design, Sprache und Eingabefelder, täuschend ähnlich sieht.

Die kompromittierten und gefälschten E-Commerce-Webseiten sind darauf angelegt, Zahlungskartennummern, Ablaufdaten, CVVs und Rechnungsadressen zu stehlen. Auch Einmal-Passwörter (OTPs), die während einer 3D Secure (3DS)-Überprüfung eines Bezahlvorgangs gesendet werden, kann das Plugin abfangen. Das Besondere: sobald das Opfer auf der Phishing-Seite mit "Enter" seine Zahlungsdaten bestätigt, werden diese in Echtzeit an den Telegram-Account der Cyberkriminellen weitergeleitet. Ihnen verbleibt dann ausreichend Zeit, mit den Daten ihres Opfers selbst Einkäufe im Internet zu tätigen oder die noch frischen Daten im Dark Web weiter zu veräußern.

Das perfide am Tool: Nachdem die Angreifer die Zahlungsdaten ihrer Opfer erhalten haben, erhalten diese vom Plugin eine Standard-E-Mail, die den erfolgreichen Abschluss der Transaktion bestätigt. Es können nun also mehrere Tage oder sogar Wochen vergehen, bevor ein Opfer Verdacht schöpft. Dann ist es aber bereits zu spät.

Den Betreibern von E-Commerce-Webseiten kann in Zusammenhang mit PhishWP nur geraten werden, die Sicherheitsmaßnahmen ihrer Verkaufsportale zu erhöhen. Denkbar sind etwa:

>> Regelmäßige Updates: WordPress sollte stets auf dem neuesten Stand, sämtliche WordPress-Plugins stets im Blick behalten werden.

>> Vertrauenswürdige Plugin-Quellen: Plugins sollten ausschließlich aus vertrauenswürdigen Quellen, wie dem offiziellen Plugin-Repository von WordPress, bezogen werden.

>> Sicherheits-Plugins: Zur Überwachung und Absicherung der E-Commerce-Webseite sollten Sicherheits-Plugins installiert werden.

>> Zwei-Faktor-Authentifizierung (2FA): Um Angreifern die erfolgreiche Nutzung von PhishWP zu erschweren oder sogar unmöglich zu machen, sollte die Authentifizierung durch eine 2FA gestärkt werden.

Verbraucher wiederum sollten bei ihren Online-Käufen künftig noch vorsichtiger sein. Der richtige Umgang mit verdächtigen Phishing-Benachrichtigungen – mit Angeboten, die zu gut sind, um wahr sein zu können – muss erlernt und trainiert werden. Nicht nur zu Hause, auch am Arbeitsplatz. Werden doch auch hier solche Einkäufe – wenn auch nicht gewünscht vom Unternehmen – zunehmend getätigt; mit den entsprechenden negativen Folgen für dessen Cybersicherheitslage. IT-Verantwortlichen kann deshalb nur geraten werden, ihr Human Risk Management (HMR) weiter auf- und auszubauen – und neben der Abhaltung von Schulungen und Trainings nicht den Einbau hochspezialisierter Anti-Phishing-Tools, wie KI-gestützter E-Mail-Sicherheitslösungen, zu vernachlässigen. Anders wird sich der erfolgreiche Einsatz bösartiger Phishing-Tools, wie PhishWP, kaum verhindern lassen. (KnowBe4: ra)

eingetragen: 17.02.25

KnowBe4: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: IT Security

Markt, Branche & Security-Tipps

  • Nur bei schwersten Straftaten zulässig

    Das Bundesverfassungsgericht hat den Einsatz sogenannter Staatstrojaner teilweise für verfassungswidrig erklärt. Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Bitkom begrüßt das Urteil des Bundesverfassungsgerichts, das dem Einsatz des sogenannten Staatstrojaners enge Grenzen setzt. Die Karlsruher Richter betonen zu Recht, dass der Eingriff in die digitale Privatsphäre nur bei schwersten Straftaten zulässig ist. Der Gesetzgeber ist nun in der Pflicht nachzubessern und Rechtssicherheit für die Anbieter digitaler Dienste und von Telekommunikationslösungen zu schaffen."

  • Zusätzlich an Schlagkraft gewonnen

    Orange Cyberdefense, die Cybersecurity-Tochtergesellschaft von Orange, hat 100 Prozent der Anteile von ensec übernommen, einem Schweizer Cybersecurity-Unternehmen, das für seine Expertise in Beratung, IT-Sicherheitsintegration und Managed Security Services bekannt ist. Der maßgeschneiderte Support von ensec deckt ein breites Portfolio von Produkten führender Cybersecurity-Anbieter ab. Die strategische Übernahme, die am 23. Juli 2025 abgeschlossen wurde, wird die bestehende Präsenz von Orange Cyberdefense in der Schweiz gezielt erweitern.

  • Kommunikationskanal mitnichten zerstört

    In letzter Zeit konnte man häufig von erfolgreichen Schlägen verschiedener Polizeibehörden unterschiedlicher Staaten gegen Strukturen von Cyber-Kriminellen lesen. Unter anderem wurde das Darknet-Forum BreachForums, eines der wichtigsten der cyber-kriminellen Szene, unter die Kontrolle von Ermittlern gestellt. Wer nun aber glaubt, dass solche Schläge ein Grund zum Feiern sind, der denkt nicht an morgen, denn bald nach der Abschaltung tauchten etliche Nachfolger oder sogar Kopisten auf. Hinzu kommt sogar, dass die Betreiber des Hacker-Forums DarkForums, welches BreachForums beinahe in allen Punkten spiegelt, stolz verkündet haben, dass sie über die Messenger App Telegram den Kanal Jacuzzi weiter betreiben, der zuvor der offizielle Chatroom der BreachForums war.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen