圖片來源: 

Photo credit: danielfoster437 on Visual hunt CC BY-NC-SA

近年來線上購物越來越普遍,駭客集團Magecart屢屢鎖定電子商城,從中側錄交易資料竊密,如今武疫肺炎在全球各地陸續爆發,使得許多國家政府下令居家隔離,民眾透過線上購物來取得生活必需品的行為大增,駭客也鎖定這個現象發動攻擊。長期追蹤上述駭客組織動態的資安業者RiskIQ發現,1月下旬出現新的金融卡卡號側錄手法,已有19個中小企業網站受害。由於這些公司行號不像之前被攻擊的中大型企業,網站相關防護措施不足,而難以察覺這種攻擊的跡象。

從這波攻擊行動所採用的手法和特徵來看,因側錄交易資料的過程中,會於網站植入iframe,RiskIQ便將駭客使用的側錄工具(Skimmer)命名為MakeFrame。這項攻擊工具擁有3種主要功能,分別是存放側錄工具程式碼、從其他被駭網站載入側錄工具,以及把偷得的資料外洩給駭客。至於攻擊者的身分為何,該公司則根據MakeFrame的特性來判斷,認為是Magecart的第7組駭客所為。

Magecart是以側錄線上交易資料而惡名昭彰的駭客組織,之前售票網站TicketMaster、英國航空遭駭事件,都是這個組織所為。依據攻擊的目標和方式特性,RiskIQ歸納出Magecart旗下有多個攻擊小組。目前為止,RiskIQ總共發現了12個小組,其中這次發動攻擊的第7組,大約是在2018年被首度發現,該組駭客原先的攻擊目標,是針對中大型的電商平臺,其中曾被揭露的重大攻擊事件,像是美國廚房用品製造商OXO,先後於2017年和2018年二度遭受該組駭客攻擊。

不過,這次出現的攻擊,對象屬性與過往有所不同,RiskIQ指出,這次受害的購物商城,大多是中小企業所有,而且這些公司行號不若OXO有所名氣,這也意味駭客試圖更為低調,想要避免被資安人員揭穿。這種意圖也從駭客側錄工具的程式碼裡發現,RiskIQ指出,攻擊者運用了多種層次的混淆手法,企圖掩蓋MakeFrame的側錄腳本。根據該公司的偵測,疫情爆發的這段期間,Magecart發動攻擊的頻率增加了20%,因此他們認為,這種鎖定線上購物的側錄攻擊,也相當值得各界加以提高警覺。

熱門新聞

Advertisement