在线购物在Covid-19爆发后几个月的巨大增加,随着越来越多的人选择退学的物理商店。这种现象不会被忽视或没有额外后果。在同一时间段内,我们已经看到了通常的骗局的增加,也有数字撇渣,在线相当于信用卡盗窃。

作为消费者,您可能会听到关于如何安全地在线购物的不同提示。一个常见的是在网站的URL中寻找“https”,但在受损的网站的情况下,这究竟是什么意思?

作为商家,处理交易安全是最重要的要求之一,以实现SAQ-A级PCI DSS合规性。许多企业选择使用支付服务提供商(PSP)并使用IFrame容器。再一次,恶意代码在播放时如何票价?

当涉及到网络安全时,总是有一个警告,重要的是理解技术概念的细微差别和它们的局限性。

的挂锁

当我们访问网站时,我们的浏览器会产生一系列要求通过HTTP协议到Web服务器。服务器反过来将回复回应包括在屏幕上显示的文本和图像。

就在不久前,大多数网站还没有使用加密技术,因此服务器和浏览器之间的通信就被暴露了。换句话说,攻击者可以捕获你输入到网站的敏感数据,因为这些数据是以明文形式发送的。

随着HTTPS的采用,通过TLS(传输层安全性)协议,SSL(安全套接字层)的继承人加密HTTP请求和响应。此外,HTTPS验证了Web服务器,使得当您浏览到Https://www.facebook.com时,使用该站点的SSL证书拍摄私有和公钥以确保服务器的合法性。(注意:我们仍然通常使用术语“SSL证书”,但它背后的技术是TLS)。

今天,一个网站真的没有理由不使用SSL证书了。它们不仅可以免费获得,而且浏览器会显示一个警告,这可能会阻止人们访问你的网站。

您可能会听到在网上购物时的一个建议是,如果网站是安全的,它的URL应该以“https://”开头,并在购物车页上包含一个锁定图标。虽然技术上这是真的,但需要正确定义“安全”的含义。

实际上,一些人错误地假设使用HTTPS的网站是安全的,因此可以信任购买。SSL证书保证了与网站的连接是安全的(意义,加密),该网站是它假装的人,但这就是它。

要在Malwarebytes开车回家,我们检测到数千个网必威平台APP站,所有这些都使用HTTPS,尚未危险或彻底的恶意。事实上,谈到电子商务时,几乎所有注入信用卡撇渣器的网站都使用HTTPS。

图1:一些使用HTTPS的商业站点被黑客入侵

当一个网站受到损害时,SSL证书很少才能保证您的在线安全。这就是了解安全通信协议和安全网站之间的差异很重要。

网站运行的软件可能有漏洞,并被威胁行动者利用。一个被黑客攻击的网站可能包含控制你在浏览器中看到和做什么的恶意代码,不管它是否使用HTTPS。

图2:使用HTTPS加载恶意代码和exfiltrate数据的Web Skimmer

具有讽刺意味的是,网络罪犯自己也采用了SSL证书。当你知道自己的信用卡数据已经被“安全”窃取和转移时,你也不会感到多少安慰。

毫无疑问,你应该远离那些没有采用最新安全通信协议的网站。然而,您不应该想当然地认为一个站点是安全的(在购物安全的意义上),因为您看到一个挂锁。

iframe保护

许多在线购物网站使用内容管理系统(CMS)(如Magento),其中Checkout页面依赖于第三方表单来处理敏感数据。整合是无缝的,以便为购物者提供最佳体验。

一个流行的选项是iframe容器,其中商家站点将第三方脚本集成到checkout页面的iframe中。在技术术语中,提供者脚本被插入到一个iframe容器中,客户将在其中输入他们的支付细节(即信用卡号码、月和年到期以及CVV)。这意味着商户不会存储、处理或传输持卡人的数据。

图3:Braintree hosting Fields隔离支付数据

同源策略(SOP),确保一个页面中的代码只能访问另一个页面中的数据,如果这两个页面具有相同的来源。换句话说,如果商家站点被黑客攻击,SOP可以防止恶意代码在受保护的iframe中窃取数据。

不幸的是,有很多方法可以绕过iframe保护,这通常归结为控制加载到页面上的内容。PCI安全标准委员会在其报告“然而,如果攻击者入侵了商家的网站,他们可以为框架创建替代内容,然后允许完成支付过程,并为攻击者创建一份持卡人数据的副本。”

在我们最近观察到的攻击中,威胁演员正在瞄准Braintree托管字段在禁用合法的iframe后,在同一容器中注入自己的iframe。

图4:流氓iframe取代了Braintree iframe的地方

正如您在图2中看到的那样,合法的Braintree iframe(braintree-hosted-field_number)它的display属性在恶意iframe(FPMT.)采取地点。

这意味着攻击者现在可以直接访问信用卡号码字段,并可以在客户类型中窃取它,完全绕过IFrame容器保护。

容器对商家仍然有价值,因为它们可以帮助商家实现PCI遵从性,并通常增强他们的整体安全态势。然而,将支付过程外部化并不意味着你的平台就能免受黑客攻击。

层层中的安全

在安全领域没有绝对的,如果一项技术声称能解决所有问题,那它可能好得令人难以置信。

随着针对网上购物者的威胁不断演变,我们也必须做出回应。信用卡撇账者可以针对任何平台和业务,但也有一些风险更高的领域和行为。当评估一个购物网站时,你需要看的远不止HTTPS锁,甚至安全封条。

  • 该网站是最新的吗?虽然技术上,这需要扫描CMS核心文件来确定他们的版本,一些诸如版权声明之类的事情,显示过去的日期是赠品。
  • 这是一个小型的“夫妻店”网站吗?这些通常风险更大,因为业主在安全方面投资的资源更少。
  • 该网站是否提供了可能更安全的付款方式,例如单独的付款网关或令牌系统?
  • 结帐页面是否正确呈现,没有任何奇怪的元素?斯皮姆斯经常尝试注入网络钓鱼形式或劫持现有领域,有时可以在视觉上注意到。

在对网站上进行尽职调查检查后,您仍然可以通过使用安全软件来挫败在线撇杀的风险,以及可以阻止从加载阻止恶意代码的浏览器扩展。必威平台APPMalwarebytes浏览器卫队旨在过滤浏览广告,诈骗和恶意内容。

作为在线商家,当您运行网站时,存在许多安全决策。在这里列出它们是难以列出的,而是一般规则,很好记住,安全性不是最终状态,而是一个需要资源的恒定过程。积极主动地预测攻击,并在妥协的情况下有一个计划也是至关重要的。

有许多服务可以提供安全性强化和监控,不同的成本。这些可以是一个没有自己的IT团队的商家的好选择。作为侧面笔记,大多数Web开发人员或Web代理商(除非另有说明)只会构建一个网站但不提供正在进行的安全更新和监控。