网上浏览
作者:Randy Paszek,Source Defense高级销售工程师
什么是 eSkimming?
eSkimming、Magecart 和 formjacking 都是用来描述基于网站的攻击的术语,这些攻击利用注入网页的恶意代码来读取、写入或更改页面的预期功能。这些攻击通常针对支付卡数据、健康信息、身份信息或财务账户信息,在现代网站上很常见。在线业务量很大的公司应该意识到 eSkimming 攻击的风险和后果。
去年年底,Visa 警告称,他们调查的违规行为中有 75% 涉及电子商务网站,并特别警告称,电子盗刷是网络犯罪分子的新首选方法。根据地点和行业,GDPR 和 CCPA 等隐私法案、PCI 等标准组织以及 HIPAA 等行业特定法规都强调了优先考虑客户端安全性的必要性,尤其是针对电子盗刷的安全性。
eSkimming 和 Magecart 攻击简史
eSkimming 攻击 whatsapp 号码数据 至少从 2014 年就开始了,最初的目标是 Adobe Magento 电子商务平台。这些早期的攻击被称为“ Magecart ”,证明了使用 JavaScript 作为此类攻击基础的有效性。
随着网上购物的增多,Magecart 团伙(至少已发现 13 个已知团伙)开始寻找其他平台和技术来实施 eSkimming 攻击,例如 Heroku、WordPress、Shopify 和 WooCommerce。基于平台的攻击利用平台版本中已知的漏洞,这可能允许恶意代码插入或运行在该平台中,从而可能影响运行该版本平台的任何网站。
随着交付网络和代码存储库越来越受欢迎,攻击目标也发生了变化,GitHub 和 Amazon S3 等存储库成为攻击的焦点。注入或更改跨多个站点使用的代码可以进行有效且广泛的攻击。基于第三方的攻击(使用站点上授予的第三方代码访问权限)可能是最危险的。这些攻击使用第三方服务(如分析、广告、聊天机器人和社交媒体)作为恶意代码的注入点。
这些服务通常可以完全访问访问者会话期间发生的每个事件,从而可以访问键入的数据、调查答案和帐户信息。由于 JavaScript 的访问权限以及网站所有者对外部服务的信任,进行数据交易的网站面临第
三方攻击的风险。
在上述同一篇 如果他们还没有打开你的冷邮件 报告中,Visa 同样警告不要将第三方供应链合作伙伴用作攻击媒介。对于任何关注第三方风险的组织来说,评估公司网站必须是该计划的一部分。
最终,使用 JavaScript 服务进行营销、电子商务或增强用户体验(以及其它目的)的网站更有可能成为这些攻击的受害者。
最新的 eSkimming 攻击向量
最近,出现了一些先进的技术,例 美國數據 如使用网站图标将 eSkimming JavaScript 存储在图片的 EXIF 数据中、将略读数据隐藏在 JPEG 文件中以及使用随机化仅影响页面的一定百分比访问者。这些技术表明,随着窃取数据和在线交易的盈利能力不断提高,eSkimming 攻击也在不断演变。