Magecart 混乱

当我们进入充满烧烤、棒球比赛和后院乐趣的夏季时，如果您想知道去年零售、科技和制造业违规行为的首要根本原因是什么，请不要太感到惊讶。 据 F5 实验室称，它是Magecart 。

什么是 Magecart？ Magecart 实际上是指一组网络犯罪单位。 负责这项工作的小组至少有十几个，每个小组都有自己的专长。 例如，Group 5 涉嫌参与 2018 年的 Ticketmaster 攻击事件。 但这种类型的攻击自 2014 年以来就一直存在，最早是由 Group 1 发起的。

该犯罪团伙首先利用了易受攻击的服务器或破坏了购物车页面。 他们会使用自己的恶意软件更改内容、代码和脚本来窃取信用卡和个人数据。

他们目前已经发展到可以通过第三方广告服务发起的网络代码注入攻击来窃取支付信息的地步。 攻击者会破坏广告服务并注入恶意代码。 然后，受感染的 JavaScript 库会被加载到广告服务所提供的电子商务网站上。 当顾客输入信用卡信息时，盗刷器会在后台窃取数据。 一旦捕获到这些信息，您就会知道，这些信息会被存储在服务器上并传回，然后到达地下卖家/买家手中，他们要么购买商品，要么重新划线，而您根本不知道发生了什么。

Ticketmaster（如前所述）、New Egg、Sotheby’s 和英国航空都曾是受害者。 事实上，Ticketmaster 本身并没有直接受到攻击，而是其第三方供应商受到了攻击。 为 Ticketmaster 制作的自定义 JavaScript 模块已被数字撇取器代码取代。 但他们并不是唯一的。 数以百计的网站已经以这种方式遭到入侵。

破坏第三方系统是获取目标访问权限的好方法。 通常，这些公司规模较小，安全保障力度较低。 并且他们可以直接访问目标。 还记得那些日子吗？攻击是通过未正确分段或未通过某种身份验证保护的后端网络连接发起的。 有点类似，只不过现在是数字广告。 让别人替您送货。

数字卡盗刷对犯罪分子来说很有吸引力，因为成功的可能性很高，而且相对容易。 其他攻击需要恶意软件、直接攻击甚至社会工程等手段才能成功。 这需要时间、精力，有时还需要专业知识。 而且，与 Magecart 相比，成功率较低。 为什么不追求容易获得且利润丰厚的东西呢？

它成功的另一个原因是客户几乎不可能察觉到它。 当您兴奋地输入付款信息以享受免费送货服务时，浏览者正无形地徘徊在字段上方以抓取您的数据。 传统上，盗刷器是 ATM、加油泵和收银亭等设备的物理“附加装置”。 它可能是覆盖实际插入件的东西，也可能是设计用于融入机器的薄膜。 您可以通过仔细查看插入卡的位置或用手指划过缝隙以感觉任何异常来阻止这些物理威胁。 在数字情况下，它实际上是不可见的。 难怪注入攻击仍然位居 OWASP 十大攻击之首。

攻击者总是不断迭代他们的代码以避免被发现。 混淆、加密，甚至破坏和禁用可能已经在网站上运行的其他卡片盗刷软件。 在一种案例中，该脚本还不断清理浏览器调试器控制台消息，以阻止检测和分析。 根据趋势科技的说法，第 12 组的脚本甚至会检查 URL 中是否存在“账单”、“结帐”和“购买”等关键词。 他们甚至加入了法语单词“panier”表示篮子，以及德语单词“kasse”表示结账，从而实现了本地化。 一旦注意到目标字符串，脚本就会开始浏览，并且每个受害者都会得到一个随机数来识别他们。 一旦受害者关闭或刷新浏览器，另一个 JavaScript 事件就会将捕获的付款数据、电子标签（随机数）和电子商务域发送到远程服务器。

RiskIQ表示，Magecart 是一个巨大的活跃威胁，其危害可能比 Target 或 Home Depot 的销售点漏洞更大。 尽管研究人员逐渐意识到这种风险，但这并不意味着他们能够检测到每一次攻击。 犯罪分子很聪明。

与许多安全威胁一样，分层或纵深防御的方法是关键。 显然，修补所有服务器和分割敏感系统非常重要。 确保所有扩展和第三方系统都是最新的。 确保通过 CDN（外部源）或其他域传送的内容和文件没有被更改或篡改也很重要。 当然，具有针对 Magecart 利用的已知漏洞的签名或规则集的WAF可以提供帮助。

这些攻击在不断演变，变得越来越复杂，并且寻找新的替罪羊。 供应链攻击让犯罪分子可以访问数千个网站。 一下子。

最后，任何违规行为都是一个很好的教训，要定期检查信用卡、银行和财务报表是否有任何异常活动。 看到了就举报。

如果您想更深入了解 Magecart 和其他注入漏洞，请前往 F5 Labs 查看其《2019 年application保护报告》第 3 集： Web 注入攻击变得更加凶猛。