安全研究人员发现一批黑客组织以Google Apps Script平台为掩护,窃取电商网站用户的信用卡资料或个人信息。
Google Apps Script为Google商业应用云计算平台,常被小型网站企业用来控制Google试算表,制作简易数据库。研究人员Eric Brandel与安全鉴识厂商Sansec合作发现电商网站盗录(e-skimming)或称Magecart手法的最新攻击活动中,利用Apps Script作为恶意连接的掩护。
研究人员解释这波攻击主要分为二个步骤。首先,攻击者先在Google Apps Script平台上托管小型程序,之后在电商网站注入一小段经混淆(obfuscation)的程序代码,这些程序代码可拦截网购消费者支付表格信息,将资料传到托管于Google Apps Script的应用程序上。最后,这些信息再以由Google服务器发送到黑客控制的网站。在研究人员发现的案例中,支付信息传到一个位于以色列的域名,这个域名注册同一天,还另有二个恶意程序域名上线。
研究人员指出,最后一段连接以script“.”google“.”com为掩护,实则滥用Google域名具有良好域名信誉(reputation),而不会被扫描工具或内容安全策略(Content Security Policy,CSP)阻拦来回避过滤。
这不是第一次Google服务被黑客用于电商盗录攻击。去年安全公司卡巴斯基也披露黑客利用Google Analytics掩护监听用户信用卡信息的攻击活动。
安全厂商表示,最新攻击显示电商网站光是切断和不信任域名的连接已经不够,网站管理员还得留心网站没有被注入任何未授权的程序代码,方法像是强化服务器端恶意程序及网站漏洞的监控。