如何保护您的信息免受Magecart和其他电子商务攻击

如何保护您的信息免受Magecart和其他电子商务攻击

如今正处于网购的黄金时代,消费者登上互联网,输入一些银行卡信息就可以在家等快递了。由于供应商很有名,所以他们的网站就很安全,真的是这样吗?难道你不知道黑客只需要几行JavaScript代码就可以窃取你的银行卡信息吗?

为了获取用户提交的信息而攻击网络已经不是什么新鲜事了。开源电商平台Magento已经被攻击过很多次了。

攻击作为支付平台的网站来获取银行卡号以及其它私密的个人身份信息也不是什么难事了。

从某种意义上说,这是数字版的信用卡略读,信用卡略读是在ATM上获取银行卡信息的过程。与犯罪分子可以篡改ATM的方式相同,黑客也可以更改网站的结账页面。

近来,小型网站和大公司遭受的此类攻击显著上升。本文将回顾最近发生的一些攻击事件,并为如何防止这类攻击提供一些建议。

攻击第三方

攻击者可以使用许多不同的方法来攻击网站,通常是利用漏洞或弱密码。如果无法用这两种方式时,他们就会攻击网站所依赖的第三方库,这个第三方库安全系数不高。

第三方攻击的一个好处是这种攻击的可扩展性。攻击一个供应商,黑客就可以影响依赖它的所有网站。

下面的恶意代码以模糊格式添加到合法且受信任的脚本中。这是Magecart的攻击方式,Magecart是发动最近几次高调攻击的黑客组织的名字。

如何保护您的信息免受Magecart和其他电子商务攻击

解码脚本后,可以发现消费者点击结账后,该代码就会收集信息。在网络层面上,这看起来像一个POST请求,其中每一个字段(姓名、地址、银行卡号、到期日期、CVV等)以Base64的格式发送到由攻击者控制的流氓服务器(info-stat[.]ws)上:

如何保护您的信息免受Magecart和其他电子商务攻击

这种攻击对商家和客户都是透明的。与涉及泄露数据库的泄密事件相比,信息可能被加密,网络浏览器能够以明文和实时的方式收集您的数据。

英国航空公司案

在2018年8月至9月期间,英国航空公司遭受了15天的Magecart攻击,为了不引起网站访问者和管理员的怀疑,其目标非常明确。

该脚本与付款功能完美融合,大大降低了被发现的可能。事实上,脚本本身是从行李索赔信息页面加载的,攻击者甚至为他们发送被盗数据的服务器支付了SSL证书。他们本可以像许多其他黑客一样使用免费证书,但他们可能想避免被发现并让一切看起来尽可能合法。如果他们没有采取这么多预防措施,可能早就发现了。

在数据方面,攻击者设法同时获取个人身份信息和付款细节。这次攻击非常全面,由于部分网页在应用程序内部加载,攻击者还准备了一些特定于移动设备的代码,所以Magecart能够从手机端用户那里盗取数据。

他们能够发动这样的攻击,同时还拥有英国航空公司网站的内部访问权,这令人深感震惊。他们获取的信息不仅仅是每天向航空公司提供的支付信息,还包括护照详情,出生日期和其他个人信息。值得庆幸的是,英国航空公司证实没有旅行数据被盗。但就其潜在的后果而言—-不可避免的攻击后数据泄漏和勒索 ,这种攻击是灾难性的。

预防措施

不可能完全避免网络攻击,但仍然有措施缓解这种风险。

商家(服务器端)

经营电子商务网站需要承担一定的责任,特别是如果通过它处理支付信息。将金融交易的处理外包给较大的可信方,这通常是一种更安全(也更容易)的做法。

第三方资源完整性检查是一个被忽略的安全措施,但在加载外部内容时有很多好处。现实情况是,网站通常无法自行管理所有内容,因此出于速度和成本原因依赖CDN和其他提供商更有意义。

虽然在这篇文章中我们专注于信用卡信息窃取,但还有许多其他威胁可以通过第三方库传播。因此,实施内容安全策略(CSP)和子资源完整性(SRI)等安全措施可以帮助预防许多问题。

消费者(客户端)

消费者要记住的一件事是,我们非常信任我们购物的在线商店。所以不在小网站上购物是非常明智的选择,这些网站的安全级别通常低于大网站。当然,对于像英国航空公司或Newegg这样的案例,这条建议就有其局限性。

使用NoScript等浏览器插件可以防止JavaScript从不受信任的站点加载,从而减少表面攻击。但是,当恶意代码已经嵌入受信任的资源时,这条建议也有其局限性。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/114424.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code