kevin-ku-364843-unsplash-压缩机
Magecart 攻击正变得越来越流行和危险，造成了严重的破坏并引发了严重的问题。

为了帮助企业更深入地了解这些攻击的含义以及应如何处理这些攻击，我们采访了安全和 JavaScript 专家 Graham Cluley，他是一位拥有数十年网络安全经验的领先计算机分析师。Cluley 在其屡获殊荣的博客、播客以及数十次媒体和活动露面中分享了他的深刻见解。我们讨论了 Magecart 攻击的性质以及可以帮助企业预防和缓解此类攻击的解决方案。

如果您想听对话，可以单击此处。

Magecart 攻击期间会发生什么？

我们经常在新闻中听到 台湾数据 有关 Magecart 攻击的消息，了解这些攻击的真正含义非常重要。大型黑客组织植入通常由第三方托管的 JavaScript 恶意软件，目的是在无辜的互联网用户与网站互动时窃取他们的信用卡数据和个人信息。

尽管网站通常不会存储用户的完整付款信息（例如 CVV 安全码），但恶意脚本不需要侵入网站的数据库，而是监视结账客户输入的信息。

我们已经看到一些大型公司遭到 Magecart 集团的攻击，包括 Vision Direct、Umbro 等。数亿客户因此受到影响，损失惨重。

谁有可能成为 Magecart 攻击的受害者？

一句话：所有人。几乎 如何建立成功的代理-客户关系 所有网站（远超 99%）都使用某种形式的第三方 JavaScript 代码。在许多情况下，网站的大部分内容实际上由外部供应商运营。这并不一定是坏事，因为它有助于提升网站的功能。例如，数百万个网站出于很好的理由使用 Google Analytics。当一段代码变得脆弱时，就会出现问题，这会将整个网站暴露给黑客。JavaScript 代码为黑客提供了多种修改网站以及读取和访问显示或输入的信息的方法。

这个问题与网站的基本架构有关。不同代码段之间没有层次结构，每段代码都拥有相同的“权限”。只需一个恶意部分就能影响整个网站，就像毒害水源一样。

考虑到网站无法跟踪第三方供应商编写的每一段 JavaScript 代码的每次更改，这个问题就更加严重了。公司直接向正在运行的浏览器提供代码，却不知道代码的真正内容，这是很危险的。

谁负责减轻 Magecart 攻击？

漏洞是由外部供应商 广告数据 造成的，但这并不意味着拥有并运营主网站的公司就无需承担责任。有时受影响的代码实际上是植入在网站本身中的。但即使不是这种情况，网站也有责任处理这些攻击；这关系到公司的声誉。最终， Ticketmaster将在公众面前承担责任。

在客户获取方面，Magecart 攻击会带来很多额外成本。你必须投入资源并努力重新赢得客户的信任，这个过程可能需要数年才能完成。目前，隐私问题也备受关注，GDPR 和加州的新法规让公司知道他们应该关注什么。