在当今网上购物的黄金时代,消费者上网,输入一些信用卡信息,就能在家门口愉快地收到商品,因为他们知道网上卖家是知名的、经过审查的,因此很安全他们的网站必须安全, 对?DUT你知道黑客只能用几行JavaScript窃取您的信用卡详细信息吗?

具有收集用户提交数据的网站的攻击几乎没有新的。Magento,开源电子商务平台,一直是这种黑客的目标多年

通过妥协的网站,也用作支付平台,收获信用卡号码和其他私人,个人可识别的信息(PII)是一种令人惊讶的简单而有利可图的过程。

从某种意义上说,这是信用卡的数字等价物撇去,即在实体ATM机上获取某人信用卡信息的过程。就像罪犯可以篡改自动取款机一样,他们也可以篡改网站的结帐页面。

最近几个月,经过较小的网站和主要公司相似的攻击,稳步增加。本博客文章将审查我们目睹的一些最新事件,并为打算在雷达下飞行的威胁提供一些缓解技术。

第三方的妥协

攻击者可以使用许多不同的技术来破坏一个网站,通常是利用漏洞或弱密码。当无法做到这一点时,它们通常会将目标锁定站点所依赖的第三方库,而后者可能不那么安全。

第三方妥协的增加的好处是攻击的可扩展性。通过黑客入侵了一个提供商,您可以影响依赖于它的整组网站。

下面的恶意代码以一种模糊的格式被附加到一个合法且受信任的脚本中。这是我的工作Magecart,指最近几起引人注目的袭击事件的恐怖分子。

在解码脚本之后,我们可以看到负责在客户点击结帐按钮时获取数据的代码。在网络级别,这看起来像一个POST请求,其中每个字段(名称、地址、信用卡号、有效期、CVV等)以Base64格式发送到非法服务器(info-stat。ws)由犯罪分子控制:

这种攻击对商家和客户都是透明的。与泄密数据库(其中的信息可能是加密的)不同,网络浏览器能够以明文和实时的方式收集你的数据。

英国航空公司案例

2018年8月至9月之间,英国航空公司遭遇了一个Magecart攻击15天为了不引起网站访问者或管理人员的怀疑,这些网站成为了高度目标。

JavaScript库被篡改,并以将其无缝化为背景的方式混合到支付流中。实际上,脚本本身从行李声明信息页面加载,攻击者甚至支付了他们发送盗窃数据的服务器的SSL证书。他们本可以使用这样的免费证书,如许多其他诈骗者,但他们可能希望避免红旗,并使一切都像尽可能合法。如果他们没有那么多预防措施,那么他们可能已经发现了很多早期。

在数据被盗方面,攻击者设法索取PII和付款细节。由于应用程序本身内部的网站和攻击者的部分加载,Magecart甚至能够从移动应用程序用户扫描数据,攻击甚至能够从移动应用程序用户滑动数据。

他们能够脱离这样的攻击,以及对英国航空网站本身的内部访问,非常震惊。它不仅仅是每天都可以每日提供航空公司的付款信息 - 它的护照细节,出生日志和其他令人难以置信的个人信息。谢天谢地,英国航空公司确认没有采取旅游数据。但就潜在的辐射而言,包括不可避免的攻击后数据泄漏和勒索尝试 - 最重要的攻击可能是灾难性的。

缓解措施

防止Web撇击攻击没有银弹,但仍有可能采取措施来减轻风险。

商人(服务器端)

运营一个电子商务网站需要承担一定的责任,特别是如果支付信息是通过电子商务网站处理的。将金融交易的处理外包给更大、更可靠的机构通常是一种更安全(也更容易)的做法。与收集数据相关的PCI合规性和风险可能是压倒性的,特别是对于宁愿关注业务方面的站点所有者来说。

关于如何防止自己的网站被黑客攻击,网站安全方面的内容太多了,所以我们将重点讨论第三方泄露的情况。

第三方资源完整性检查是一个安全的方面被忽视,但在加载外部内容时可以提供很大的好处。现实是,一个网站通常不能托管所有内容本身,并且依赖CDN和其他提供商的速度和成本原因更有意义。

这种关系并不一定意味着不得不在第三方天气经历问题。虽然在这篇文章中我们专注于信用卡窃贼,但有许多其他威胁可以通过第三方图书馆传播。出于这个原因,实施保障措施如内容安全政策(CSP)和子源完整性(SRI)可以帮助缓解许多问题。

消费者(客户端)

作为消费者的一件事是,我们在很大程度上在很大程度上在我们购物的在线商店中展示了我们的信任。因此,避免较小的站点可能是明智的,这可能与更大的站点没有与较大的站点相同。当然,有案例英国航空公司(British Airways)新焦根在美国,这条建议显示出它的局限性。

使用浏览器插件,例如NoScript可以防止JavaScript从不受信任的站点加载,从而减少攻击的表面。然而,当恶意代码嵌入到已经信任的资源中时,它也有同样的缺点。

Magecart和其他网络浏览器可以通过屏蔽攻击者所使用的已知域名和ip的连接,在外过滤层得到缓解。不过,考虑到注册新属性是多么简单,这并不是完全证明。但是基础设施重用仍然是我们经常看到的事情。

我们将继续监控这些威胁,并将相关的妥协指标(IOCs)添加到我们的数据库,以保护我们的Malwarebytes客户。必威平台APP