Magecart-Kampagne: Angreifer missbrauchen Stripe und Google Tag Manager

Sicherheitsforscher haben eine ausgeklügelte Magecart-Kampagne identifiziert, die die Stripe-API und den Google Tag Manager (GTM) missbraucht, um Kreditkarteninformationen von Online-Shops zu stehlen. Die am Montag veröffentlichten Erkenntnisse zeigen, wie die Täter legitime Web-Infrastruktur nutzen, um Sicherheitsfilter zu umgehen und unentdeckt zu bleiben.

Missbrauch alltäglicher Web-Tools

Anzeige: Die neue Magecart-Welle missbraucht Stripe und GTM – genau die Tools, die Sie täglich einsetzen. Wer seine Checkout-Seiten nicht absichert, riskiert den Verlust sensibler Kundendaten. Dieser Report liefert Ihnen eine konkrete Schutz-Checkliste. Jetzt kostenlosen Schutz-Report anfordern

Die Angreifer schleusen schädlichen JavaScript-Code über legitime Google-Tag-Manager-Container ein. Da GTM ein Standardwerkzeug vieler Online-Händler für Marketing und Analyse ist, löst dieser Ansatz keine herkömmlichen Sicherheitsalarme aus.

Der digitale Skimmer aktiviert sich gezielt auf den Checkout-Seiten, auch solcher, die auf Plattformen wie Magento oder Adobe Commerce laufen. Einmal aktiv, erfasst das Skript eine breite Palette sensibler Daten: Kreditkartennummern, CVV-Codes, Ablaufdaten sowie persönliche Angaben wie Namen, Adressen, E-Mail-Adressen und Telefonnummern.

Heimlicher Datentransfer über vertrauenswürdige Zahlungswege

Das Herzstück der Kampagne ist die Methode, gestohlene Daten vom kompromittierten Server zu schaffen. Die Täter nutzen die Stripe-API, um die Beute hochzuladen. Sie speichern die gestohlenen Daten als Metadaten in gefälschten Kundenprofilen auf der Stripe-Plattform. Dadurch wird der Datenverkehr an api.stripe.com geleitet.

Da diese Domain in Content-Security-Policy-Regeln (CSP) und Netzwerkfiltern für legitime Zahlungsabwicklung meist freigegeben ist, bleibt der unerlaubte Datentransfer oft unbemerkt. Die Forscher betonen, dass diese Technik Standard-Sicherheitsmaßnahmen umgeht, die eigentlich Daten an unbekannte oder bösartige Domains verhindern sollen. Einige Varianten der Kampagne nutzen auch Google Firestore für ähnliche Zwecke.

Kampagnen-Historie und betroffene Branchen

Obwohl die Details dieser spezifischen Methode erst jetzt ans Licht kamen, deuten Hinweise darauf hin, dass die Kampagne möglicherweise seit Dezember 2025 aktiv ist. Die Entdeckung reiht sich in ein Muster zunehmender Raffinesse beim digitalen Skimming ein: Angreifer entfernen sich von leicht blockierbaren Domains und setzen stattdessen auf vertrauenswürdige Dienste Dritter.

Anzeige: Seit Dezember 2025 läuft eine Kampagne, die Sicherheitsfilter umgeht, indem sie gestohlene Daten über Stripe-API als Metadaten in gefälschte Kundenprofile speichert. Prüfen Sie Ihre CSP-Konfiguration jetzt – bevor Ihre Daten unbemerkt abfließen. CSP-Konfigurationsanleitung jetzt sichern

Der E-Commerce-Sektor bleibt das Hauptziel. Frühere Vorfälle zeigten ähnliche Taktiken, darunter ein Angriff auf den Online-Shop der Green Bay Packers Ende 2024 sowie verschiedene Kampagnen gegen Magento-basierte Händler im Laufe des Jahres 2025. Damals nutzten die Angreifer unterschiedliche Methoden wie gefälschte Bild-Tags und spezielle Tracking-Codes, um ihre Aktivitäten zu verbergen.

Gefahr für den deutschen Online-Handel

Branchenbeobachter sehen in dieser neuen Kampagne eine anhaltende Bedrohung für Online-Händler, insbesondere jene, die auf gängige E-Commerce-Plattformen und Skript-Manager von Drittanbietern setzen. Sicherheitsexperten empfehlen dringend, legitime Container auf unbefugte Änderungen zu überwachen und CSP-Konfigurationen zu überprüfen, um das Potenzial für API-Missbrauch zu begrenzen. Für deutsche Händler bedeutet dies: Ein genauer Blick auf die eigenen Zahlungsprozesse und die eingesetzten Drittanbieter-Tools ist unerlässlich.

de | wissenschaft | 69504336 |