會在網頁分頁與網址列出現的網站圖示,竟成為駭客發動網站側錄攻擊、藏匿指令的管道

在網頁分頁與網址列出現的網站圖示

你我習以為常的網站圖示(Favorite Icon,Favicon),現在成為駭客用來發動側錄交易資料攻擊(Web Skimming)的管道。最近端點防護廠商Malwarebytes,揭露一起網站側錄攻擊,他們發現駭客不再只是從網站本身的程式碼著手,而是藉由網站圖示的圖片檔案,將攻擊指令和要外洩的交易資料,藏匿在可交換圖檔格式(EXIF)的中繼資料(Metadata),來針對使用WooCommerce外掛程式的WordPress電商網站下手。

在這一波攻擊行動裡,Malwarebytes發現上述含有側錄指令的圖片檔案,駭客會在目標電商網站上置換掉該網站的圖示,進而偷偷從中發動側錄攻擊。而攻擊過程裡,駭客不只使用上述圖示發動側錄行動,也同樣用圖片來外洩側錄到的信用卡資料。

網站圖示是讓使用者更容易識別網站的一種機制,是時下大部分網頁瀏覽器都支援的技術。假如網站有加入這個圖示,瀏覽網頁的用戶會在瀏覽器分頁上看到關連的圖案,要是使用者將網站儲存在書籤(Bookmark)裡面,瀏覽器也會一併顯示這個圖示,由於這個圖示也代表這個網站,還會出現在瀏覽器分頁等地方,因此也有人將它稱為URL圖示,或者分頁圖示(Tab Icon)。由於這個圖示通常會套用在整個網站上,因此一旦被竄改,整個網站裡的網頁都會受到相關的威脅。

Malwarebytes在受害的電商網站上進行解析,發現它們網站圖示有問題。駭客在著作者的欄位中(Exif.image.Copyright),植入有關側錄攻擊的指令,這串指令是使用PHP編寫的JavaScript,而且還加入了混淆的內容,讓研究人員更拆解這些字串的用途。

值得留意的是,與許多側錄攻擊的過程裡,這起事件駭客也截取到電商買家的資料,像是姓名、帳號地址,以及信用卡詳細資料等,但收取側錄資料的方法卻有所不同,並非直接傳送文字檔案到外部,而是再度利用圖片的型式,來包裝向外傳輸前面提及截取到的資料,而這樣的方式比起文字檔案,更難讓網站管理者察覺資料遭到外洩。


Advertisement

更多 iThome相關內容