特色图片 新 黑客瞄准移动 品
9 月 18 日，一系列信用卡盗刷攻击事件曝光，TrendMicro 率先报道了这一事件。Magecart 被用来攻击两家不同连锁酒店的预订网站。

这两家连锁酒店在 14 个国家/地区经营着大约 100 家酒店。报告非常详细地描述了这些攻击，我非常喜欢。从结论来看，似乎被入侵的网站无法采取任何措施来阻止这些事件。

让我们花点时间解释一下黑客到底做了什么以及他们为什么这么做。我还将讨论一些可用的缓解选项，并解释为什么传统方法对这种类型的攻击不起作用。最后，我们将讨论可以防止这些事件发生的唯一解决方案。

攻击回顾以及黑客行为背后的原因：

Magecart 是谁？

Magecart 是一个针对 whatsapp 号码数据 电子商务和零售客户的恶意黑客组织的名称。这个特定的大型黑客组织植入了通常由第三方托管的 JavaScript 恶意软件，目的是在无辜的互联网用户与网站互动时窃取他们的信用卡数据和个人信息。尽管网站通常不会存储用户的完整付款信息（例如 CVV 安全码），但恶意脚本不需要侵入网站的数据库，而是监视结账客户输入的信息。

他们是如何做到的……只需 5 步

Magecart 黑客成功入侵了 Roomleader（一家帮助酒店建立在线预订网站的西班牙公司）开发的 JavaScript 代码，但黑客可以使 目的是 使用防止潜在风险的协议和 用网站使用的任何第三方代码，只要它是 JavaScript。这包括分析、广告服务器、聊天、评论、评论以及基本上任何其他第三方供应商代码。
当 JavaScript 代码被传送到 PC 上，或者当开发者工具打开时，它不包含对恶意代码的调用。但是当它被传送到移动设备上时，对恶意代码的请求就出现了。这是有原因的——黑客想要避免被发现，而 PC 有更好的方法来检测恶意代码。

能会删除 iFrame 并放入自己的代码。

提交后，JS 会加密信用卡 广告数据 信息并将其发送到黑客的投放服务器。千万不要以为黑客加密数据是因为他们担心我们自己的安全——他们使用加密数据是为了避开 JavaScript 代理保护，该保护使用 RegEx 在发送之前查找和替换信用卡信息。
警惕未来的威胁

该代码的下一次演进可以消除对投放服务器的需求，并使用合法的白名单工具来捕获信用卡信息。例如，使用 Google Analytics 通过将数据作为页面浏览量发送来捕获数据，或使用 Facebook 在黑客的 Facebook 帐户上发布带有数据的评论。

黑客一直在尝试阻止检测，他们可能采用的另一种方法是每几千次页面浏览推送一次代码，以避免被机器人检测到。这种差异可能非常随机，以至于传统方法无法建立足够的保护。

快速摘要

这次巧妙的攻击是为了避免被发现而建立的。这意味着使用 CSP、SRI、Foreign iFrame 或 JavaScript 代理的一些常见建议将不起作用，也无法阻止它。