今年夏天,你更有可能找到网络犯罪组织Magecart客户端而不是池畔。
Web Skimming是直接从浏览器中窃取付款信息,是今天的顶级Web威胁之一。Magecart,这些攻击后面的小组,与英国航空公司和铁路车队违规,在努力推出前者在GDPR罚款中获得1.83亿英镑(2.29亿美元).
略读器、嗅探器或扫码器(这些都是多年来可以互换使用的有效术语)已经存在很长时间了,主要是在服务器端与诸如此类的安全公司进行斗争Sucuri.执行网站修复。
今天,网络浏览是一个蓬勃发展的行业,由无数不同的威胁集团组成,从单纯的模仿者到更先进的行动者。在过去的几个月里,我们看到被黑的电子商务网站和略读脚本的数目稳步上升。在这篇文章中,我们分享了一些基于遥测技术的网络浏览统计数据,以及Malwarebytes是如何保护网上购物者免受这种威胁的。必威平台APP
7月份阻止了6.5万次盗窃尝试
在过去的几个月里,我们观察到越来越多的与撇脂域和脱脂门有关的区块。随着夏季的到来,这种活动急剧增加,最显著的是在7月4日左右达到峰值(图1)。
仅在7月份,Malwarebytes阻止了65,000次必威平台APP尝试通过受损的在线商店窃取信用卡号码。这些购物者中的五十四名购物者来自美国,其次是加拿大,16%和德国,7%,如图2所示。
除了大量受到损害的电子商务网站(这些站点经常被多个撇码器注入),我们还记录了大量正在进行的站点spray and pray攻击Amazon S3桶.
太多的撇脂者,太多的群体
略读代码可以帮助识别它们背后的群组,但这样做正变得越来越困难。例如,地下出售的Inter工具包被不同的威胁行为者使用,而且有许多模仿者也为了自己的目的而重用现有代码。
话虽如此,略读器通常有类似的功能集:
- 查看当前页面,看看是不是签出
- 确保开发人员工具不使用
- 通过其ID识别表单字段
- 对数据进行一些验证
- 对数据进行编码(Base64或AES)
- 将数据转移到他们的外部大门或被泄露的存储库
虽然有些略读器是简单易读的JavaScript代码,但越来越多的略读器使用了某种形式的混淆。这是一种挫败检测企图的努力,它还可以用来隐藏某些信息,比如用来收集被盗数据的门(犯罪控制的服务器)。其他研究人员也指出对于数据的exfiltration过程也是如此,尽管奇怪的加密可能实际上会引起怀疑。
Magecart保护,客户端
打击撇渣器应该与管理员一起启动服务器端,并管理员修复威胁并实施适当的修补,硬化和缓解方案。然而,根据我们的经验,大多数网站所有者都是沮丧的,或者没有防止重新感染。
一种更有效的方法是向cert提交虐待报告,并与合作伙伴合作,通过解决犯罪基础设施采取一种更全球化的方法。必威客服app但即便如此也不能保证,尤其是在威胁行为者依赖防弹服务的情况下。
我们经常被问到消费者如何保护自己免受Magecart威胁保护。一般来说,最好坚持大型在线购物门户而不是较小的网站。但是,这件建议过去并不总是持有真实的。
在Ma必威平台APPlwarebytes,我们识别那些撇渣器域和exfiltration盖茨。这意味着通过阻止一个恶意主机名或IP地址,我们可以保护商店免受几十个,如果不是数百个恶意或妥协的在线商店。
在图4中,我们看到Malwarebytes如何拦必威平台APP截被注入网站的撇渣器鹈鹕产品在客户输入信息之前。(我们向鹈鹕报告了这一违法,似乎该网站现在很干净)。
最近关于数据泄露的头条新闻已经削弱了人们在网上输入个人信息的信心。然而,仍然有许多神话存在,给人一种虚假的安全感。例如,许多商家自豪地展示的信任密封,甚至他们使用的数字证书(HTTPS)都不能保护您免受Magecart攻击。
毫无疑问,Magecart威胁行动者,尽管他们的多样性,是在它的长期游戏,因为攻击面相当广阔,我们一定会观察到新的方案在不久的将来。
注释