安全研究人員發現一批駭客組織以Google Apps Script平臺為掩護,竊取電商網站使用者的信用卡資料或個資。

Google Apps Script為Google商業應用雲端平臺,常被小型網站業者用來控制Google試算表,製作簡易資料庫。研究人員Eric Brandel與安全鑑識廠商Sansec合作發現電商網站盜錄(e-skimming)或稱Magecart手法的最新攻擊活動中,利用Apps Script作為惡意連結的掩護。

研究人員解釋這波攻擊主要分為二個步驟。首先,攻擊者先在Google Apps Script平臺上代管小型程式,之後在電商網站注入一小段經混淆(obfuscation)的程式碼,這些程式碼可攔截網購消費者支付表格資訊,將資料傳到代管於Google Apps Script的應用程式上。最後,這些資訊再以由Google 伺服器傳送到駭客控制的網站。在研究人員發現的案例中,支付資訊傳到一個位於以色列的網域,這個網域註冊同一天,還另有二個惡意程式網域上線。

研究人員指出,最後一段連結以script[.]google[.]com為掩護,實則濫用Google網域具有良好網域信譽(reputation),而不會被掃瞄工具或內容安全政策(Content Security Policy,CSP)阻攔來迴避過濾。

這不是第一次Google服務被駭客用於電商盜錄攻擊。去年資安公司卡巴斯基也揭露駭客利用Google Analytics掩護側錄用戶信用卡資訊的攻擊活動。

安全廠商表示,最新攻擊顯示電商網站光是切斷和不信任網域的連結已經不夠,網站管理員還得留心網站沒有被注入任何未授權的程式碼,方法像是強化伺服器端惡意程式及網站漏洞的監控。

熱門新聞


Advertisement