Photo by Good Free Photos(https://www.goodfreephotos.com/vector-images/cloud-security-vector-clipart.png.php)

資安業者RiskIQ本周指出,Magecart駭客集團最近鎖定了配置錯誤的Amazon S3儲存貯體來散布Skimmer程式碼,估計已有超過1.7萬個網域遭到危害,當中還包含Alexa流量排行榜上前2,000名的網站。

Magecart為駭客集團所使用的惡意軟體,專門在電子商務網站上注入Skimmer惡意程式碼以竊取使用者的付款資訊,其手法又被稱為網頁側錄(Web Skimming)。

過去採用Magecart的駭客集團多半是先入侵電子商務網站的程式碼供應商,在供應商所提供的程式碼中注入Skimmer,一次捕獲使用相關服務的數千家電子商務網站,現在RiskIQ揭露的則是Magecart駭客集團的新招術:掃描配置錯誤的Amazon S3儲存貯體以植入Skimmer。

其實Amazon S3儲存貯體的預設值是私有且受保護的,但若網管人員配置失誤即可能允許任何擁有AWS帳號的用戶存取或寫入內容。RiskIQ自今年4月初,便陸續發現受到Skimmer感染的Amazon S3儲存貯體。

當駭客發現配置錯誤的儲存貯體時,就會掃描儲存貯體中的任何JavaScript檔案,繼之下載這些檔案,添加Skimmer,再把它存回儲存貯體,且上述程序都是自動化的。

其實Skimmer必須要剛好出現在付款頁面上,才能幫助駭客取得使用者的付款資訊,掃描並置換儲存貯體上的所有JavaScript檔案並無法確保此事,但只要有少數的例子達陣便值回票價。

RiskIQ建議網管人員若要變更Amazon S3儲存貯體的存取預設值,應該更為妥善地設定存取控制,例如使用白名單、限制寫入權限,且禁止任何人對外公開儲存貯體。


Advertisement

更多 iThome相關內容