黑色星期五和假日季即将来临,预计购物者将会消费创纪录今年也是如此。大大小小的零售网站会吸引那些想要打折的购物者,同时也会吸引那些想要从这些购物者身上赚钱的网络犯罪分子,他们会用隐秘的刷卡器窃取他们的信用卡信息。
信用卡skimmers或网络skimmers是一种恶意软件,犯罪分子将其安装在合法网站上,这样他们就可以窃取购物者的信用卡详细信息。当用户将这些信息输入网站的付款表单时,这些“略读者”就会读取这些信息,或者用令人信服的伪造付款表单替换这些信息。甚至有人看到攻击者在添加整个结帐页面到不接受付款的网站。甚至在受害者点击支付表单上的“提交”之前,盗刷者就可以实时窃取信用卡信息。
Skimmers允许犯罪黑客无声地抢劫每一个在受感染网站上购物的客户,直到他们被发现并删除。必威平台APPMalwarebytes产品检测刷卡者,我们的威胁情报团队跟踪并调查他们。我们知道,刷卡行为往往会在购物繁忙的日子里增加,店主们需要在假期期间格外警惕。
在这篇文章中,我们将解释你应该采取的基本步骤来保护你的网站免受卡片窃取。掌握这些基本知识也可以保护你的网站免受其他网络威胁。
但在我们看之前如何为了保护您的网站,让我们来看看为什么如果你只是经营一家夫妻店,你就应该这么做。
为什么你不会小到不会被黑
如果你认为你的网站太小,网络罪犯不会感兴趣,那就再想想吧。他们不关心你的网站有多小。真的。事实上,他们根本不关心你,甚至可能永远不会看你的网站。
网络罪犯不会像电影里那样,一个接一个地闯入网站,用他们最好的猜测来找出你的密码。他们使用计算机程序扫描互联网上易受攻击的网站。有数百万个易受攻击的网站,扫描整个互联网来找到它们是快速、廉价和简单的。
当他们找到一个可以侵入的网站时,他们会自动注入一个刷卡器。
他们的目标是一次入侵数千个网站,这个过程是自动化的,可以连续运行。实际上,即使是侵入最小的网站,犯罪分子也不会付出任何代价,所以每个网站——无论多么小——都是有吸引力的目标。
没有支付形式的网站仍然可能成为目标,或者以其他方式赚钱,所以即使你的网站不卖任何东西,它仍然有风险。
保护您的网站
互联网上有很多潜在的目标可供选择,你不需要做太多事情来降低你的网站对攻击者的吸引力。正如那句老话所说,你不需要跑得过追赶你的熊,你只需要跑得过那些从熊身边逃跑的人!
那么,怎样才能比其他人走得快一点呢?
步骤0,保持你的计算机安全
保证网站安全的第一步是确保你的电脑,以及网站管理员的电脑都是安全的。如果你的电脑上有恶意软件,你的网站再安全也没用,因为犯罪分子可以假装是你,从你的电脑上窃取你的密码或登录你的网站。
用最新的安全修复程序更新您的软件,并安装现代防病毒解决方案一个密码管理器,还有一个浏览器安全插件,比如BrowserGuard.
设置强密码。永远不要分享它们,永远不要重复使用它们
破解一个网站最简单的方法之一就是猜出运行该网站的软件——内容管理系统(CMS)的管理员密码。如果攻击者可以做到这一点,他们可以对网站做任何他们喜欢的事情,包括添加卡片skimmer和拆除任何防御。
就像他们不会手动搜索网站一样,攻击者也不会手动猜测密码。他们也有这样的电脑程序。一旦他们的扫描器发现你的网站,另一个电脑程序就会24小时不停地尝试猜你的密码。他们最终会继续前进,但他们可能已经做了成千上万次的尝试。
好消息是,你可以通过避免一些坏习惯来提高你的密码游戏:
- 不好的密码。网络骗子不会随机猜密码,他们使用流行密码列表。的1万个最常见的密码都是很容易输入的序列
123456,1111,qwertyuiop,或者由名字和常用词组成,比如猴子,迈克尔或trustno1.如果你的密码在列表上,或者看起来像列表上的密码,你的网站就有麻烦了。 - 共享密码。如果你与某人共享密码,你不知道他们是否安全存储密码,也不知道他们可能与谁共享密码。确保密码保密的唯一方法就是永远不要分享它们。每个人都有自己的账号和密码,并告诉他们不要分享。
- 在其他地方使用过的密码。除了常见的密码,犯罪分子还使用在数据泄露中暴露的用户名和密码列表(这被称为凭据填料).你可能在数据泄露中丢失了至少一个密码。如果您从未使用相同的密码两次,就不会被凭据填充捕获。
- 每个人都是管理员。给每个在站点上工作的人一个管理员帐户通常是很方便的,这样他们的工作就不会因为被拒绝访问某些内容而中断。但是每个单独的管理员登录都给犯罪分子提供了另一种潜在的途径。将管理员级别的访问权限留给需要它的人,并尽量减少管理员的数量。
你可以通过添加来控制这些坏习惯双因素认证到你的网站。2FA迫使用户在登录时提供另一条密码信息,比如来自应用程序的一次性代码。任何像样的网站CMS都会内置2FA选项,或者容易找到和安装的2FA插件。
如果你的公司使用虚拟专用网络(VPN)来提供对公司系统的安全远程访问,你也可以限制公司VPN用户访问你的网站登录屏幕。
确保网站软件每天都是最新的
另一种侵入网站的简单方法是利用web服务器、CMS或网站使用的插件中的软件漏洞。漏洞是一种编码缺陷,可以让攻击者做一些他们不应该做的事情,比如向你的网站添加文件,或者在不登录的情况下访问它的后端。当软件供应商在他们的软件中发现漏洞时,他们会提供一个安全补丁来修复问题。
您的网站只有在应用补丁时才安全。
犯罪分子经常对补丁进行逆向工程,以找出他们修复的漏洞,然后试图利用这些漏洞入侵尚未修补的网站。他们可以非常迅速地做到这一点。
2014年,Drupal,一个非常流行的CMS,针对一个严重的安全漏洞发布了更新。犯罪分子对更新进行了逆向工程,并利用它在几小时内接管了网站。后来,Drupal安全团队制定了特别声明如果你没有在补丁发布后7小时内更新你的网站,那么你应该“考虑你的网站可能已经被入侵了”。
确保你知道谁的工作是保持网站补丁。这可能是建立和维护你网站的人会为你做的事情,或者是你自己需要做的工作。不管你做什么,不要想当然地认为一定是别人在做。
如果你使用WordPress,它应该自动更新带有安全补丁。您可以通过登录并转到来检查这一点指示板>更新.请注意,WordPress不会自动更新大多数插件.插件漏洞很常见,而且可能是对你的网站最大的威胁,所以如果不出意外的话,你需要注意定期登录检查和应用插件更新。
对于其他cms也是如此:您应该定期登录以查看是否有需要应用的更新。我们建议你也去你的CMS供应商的网站(以及任何插件供应商的网站),看看他们是否有一个发布补丁的邮件列表。注册一下,如果有紧急情况需要你注意,你就会收到提醒。
最后,这个建议适用于每一个网站在你的控制之下。公司在同一台服务器上运行多个网站是很常见的。这些可以是用于不同目的的不同网站,也可以是主站点的测试和登台版本。如果其中任何一个网站被入侵,就会给攻击者提供交叉污染服务器上所有其他网站的潜在路径。测试和分期站点经常被忽视,并且经常意外地暴露在互联网上,使它们成为一个特别软的软肋。
使用Web应用防火墙(WAF)
Web应用程序防火墙(WAF)是一种设备或基于云的服务,可以过滤发送到您的网站的数据,清除看起来恶意的东西,例如XSS或SQLi攻击。它们还可以防止未经授权的数据(如来自服务器端的信用卡详细信息)离开您的网站,如果它被泄露。
waf使用规则手册来识别恶意或未经授权的输入和输出,这意味着它们通常可以比打补丁更快地提供保护。WAF供应商创建新规则所需要知道的是攻击者用来破坏网站的输入。为了创建一个补丁,供应商需要知道攻击者正在使用什么输入,以及这些输入如何影响他们的软件,以及如何在不破坏任何东西的情况下修复它。
waf为您的环境增加了复杂性,可能需要定期更新,但它们为您的网站提供了有用的额外防御层。你永远不应该使用WAF作为补丁的替代方案,但是如果你错过了一个补丁,或者应用太慢,或者如果攻击者正在使用零日技术,而你的CMS或插件供应商还没有补丁,使用WAF可以拯救你。
保护用户免受恶意依赖
Web页面通常由多个独立的元素组成,例如脚本、图像(如按钮)、共享小部件等,它们是从多个不同的位置绘制的。事实上,单个页面具有数十甚至数百个这样的依赖关系并不罕见,而且它们来自许多不同的域:可能来自谷歌的分析和广告代码,来自Twitter的Tweet按钮,来自内容交付网络(CDN)的图像,等等。
不同的元素只是在最后一分钟在浏览器中浏览时才组合成一个页面,而且每次浏览页面时,这个过程在每个用户的机器中重复。
每个依赖项都是进入网页的潜在后门。如果攻击者可以破坏一个承载你的依赖项的网站,他们可以使用它在网页浏览器组装时将卡片浏览器注入到你的页面中,而不会破坏你的网站。你不能控制你所依赖的网站的密码或补丁,所以你必须采取措施保护你的用户不受依赖关系的损害。
子资源的完整性
子资源的完整性是脚本和样式表的一种篡改保护形式。如果攻击者破坏了您的网站所依赖的第三方脚本,他们可以使用它向您的页面中注入卡片浏览器。
2019年6月,Malwar必威平台APPebytes威胁情报发现了这种攻击在nba官网华盛顿奇才队的官方页面上。攻击者设法改变了站点使用的托管在Amazon S3存储网站上的脚本。
子资源完整性通过使用指纹(加密散列)来验证加载的元素来防止这种攻击<脚本>或<链接>标签没有被改变。
例如,假设您的网站使用流行的jQuery JavaScript库的3.6版本。如果没有子资源完整性,它的脚本标签看起来像这样:
< script src = " https://code.jquery.com/jquery-3.6.0.js " >
使用子资源完整性,脚本标签看起来像这样: