持續攻擊從100多個購物網站竊取信用卡
責編:gltian |2019-05-13 14:19:03近期研究人員透露了正在進行的信用卡黑客活動的細節,該活動目前正在竊取訪問105多個電子商務網站的客戶的支付卡信息。
在監控惡意域名(www.magento-analytics[.]com)的過程中,研究人員發現,在過去的七個月中,攻擊者一直在向數百個在線購物網站注入托管在該域上的惡意JS腳本。
所討論的javascript腳本包括數字信用卡略讀代碼,當在站點上執行時,會自動竊取客戶輸入的信用卡所有者姓名、信用卡號碼、到期時間、CVV信息等支付卡信息。
在一次電子郵件采訪中,Netlab的研究人員告訴《黑客新聞》,他們沒有足夠的數據來確定黑客是如何首先感染受影響的網站,或者他們利用了哪些漏洞,但確認所有受影響的購物網站都在運行Magento電子商務CMS軟件。
進一步分析表明,惡意腳本隨后會將被盜的支付卡數據發送到由攻擊者控制的magento analytics[.]com服務器上托管的另一個文件。
“以一個受害者為例,www.kings2.com,當用戶加載其主頁時,JS也會運行。研究人員在今天發表的一篇博文中解釋說,如果用戶選擇了一種產品,并前往“支付信息”提交信用卡信息,在輸入CVV數據后,信用卡信息將被上傳。
這項活動背后的組織所使用的技術并不是新的,與臭名昭著的麥哲卡信用卡黑客組織在最近數百次攻擊中使用的技術完全相同,包括Ticketmaster、英國航空公司和Newegg。
然而,netlab的研究人員并沒有明確地將這次攻擊與任何一個magecart組聯系起來。
另外,不要與域名-www.magento-analytics[.]com混淆。
域名中包含magento并不意味著惡意域名與流行的magento電子商務CMS平臺有任何關聯;相反,攻擊者使用此關鍵字來偽裝其活動并混淆常規用戶。
根據研究人員的說法,在該活動中使用的惡意域名在巴拿馬注冊,然而,最近幾個月,IP地址從“美國,亞利桑那州”移動到“俄羅斯,莫斯科”,然后轉到“中國,香港”。
雖然研究人員發現惡意域名竊取信用卡信息已經至少五個月了,共有105個網站已經感染了惡意JS,但他們相信這個數字可能會高于他們的雷達上顯示的數字。
就在昨天,一個用戶在一個論壇上發布了他的magento網站最近也被黑客入侵的消息,攻擊者秘密地從同一個域注入了一個信用卡竊取腳本,顯然是一個獨立的變體。
由于攻擊者通常利用在線電子商務軟件中的已知漏洞注入惡意腳本,因此強烈建議網站管理員遵循最佳安全做法,例如應用最新更新和補丁、限制關鍵系統的權限和強化Web服務器。
網站管理員還建議利用內容安全策略(CSP),該策略有效地允許對網站上允許加載的資源進行嚴格控制。
同時,網上購物者也被建議定期檢查他們的信用卡和銀行對賬單中是否有任何不熟悉的活動。無論你發現多少未經授權的小交易,你都應該立即向你的銀行報告。