Magecart 攻擊瞄準全球主要支付網絡
安全研究人員發現,自2022年以來,未被察覺的重大數位盜刷活動正在進行。Silent Push 報告指出,該活動使用腳本攻擊至少六個主要支付網絡提供商:美國運通 (American Express)、大來卡 (Diners Club)、Discover、JCB、萬事達卡 (Mastercard) 和 銀聯 (UnionPay)。這些網絡占全球大部分信用卡支付,因此大多數本地發行的卡片均處於風險之中。
Magecart 攻擊運作方式
普遍稱為「Magecart」的這類攻擊,通常涉及在電子商務網站或支付入口中秘密注入惡意 JavaScript。當受害者付款時,攻擊者會攔截其支付、姓名、地址及配送信息。然後,攻擊者可以利用這些信息進行身份和支付欺詐,或在暗網上出售。
由於攻擊是在用戶端運行,代碼在受害者的瀏覽器中執行,對網站擁有者和最終用戶來說幾乎是不可見的。
近期發現與分析
Silent Push 在分析與歐洲制裁實體 PQ.Hosting/Stark Industries(又稱 THE.Hosting/WorkTitans B.V)相關的可疑域名後發現了該活動。深入挖掘顯示該域名託管了多個加密高度的腳本 URL,如:cdn-cookie[.]com/recorder.js。
攻擊模式
攻擊遵循經典的 Magecart 模式:
- 攻擊者入侵電子商務網站/支付入口,添加惡意 JavaScript
- 代碼在受害者付款時激活
- 滑鼠針對結帳頁面完全加載進行檢查
- 創建惡意 iframe,顯示假支付表單,取代真實表單
- 受害者填寫信息,這些信息被攻擊者轉發;假表單消失,原表單恢復
當受害者在假表單中輸入信用卡信息而非真實的 Stripe 支付表單中時,支付頁面將顯示錯誤,讓受害者誤以為只是輸入錯誤。
防範措施
Silent Push 建議供應商採取以下防禦措施來減輕此類 Magecart 活動的威脅:
- 實施內容安全政策 (CSP),以限制外部資源如 JavaScript 的加載,減少惡意代碼注入的風險
- 遵循 PCI DSS 要求,保護持卡人數據的存儲、處理和傳輸
- 定期更新內容管理系統、插件和其他軟體,以最小化攻擊面
- 強制對管理帳戶實行強大的訪問控制,包括使用強大且唯一的憑證和多因素身份驗證 (MFA),以防止未經授權的訪問
此外,Silent Push 還呼籲終端用戶僅在受信任的平台上購物,使用阻擋已知惡意域名和腳本的瀏覽器/端點安全解決方案,並對結帳異常保持警覺。