武疫肺炎在全球各地陆续爆发,使得许多国家政府下令人们居家隔离,民生必需品无法直接出门购买,人们只好通过线上购物来取得所需,这样的情况也使得购物网站被黑客盯上,锁定下手截取交易内容和银行卡资料。安全企业RiskIQ指出,他们从1月下旬,发现新的侧录线上交易攻击手法,已有19个中小企业网站受害。由于这些私人企业不若之前被攻击的中大型企业,他们的网站很可能相关防护措施不足,而难以发现这种攻击的迹象。
从这波攻击行动所采用的手法和特征来看,因侧录交易资料的过程中,会于网站植入iframe,RiskIQ便将黑客使用的侧录工具(Skimmer)命名为MakeFrame。这项攻击工具拥有3种主要功能,分别是存放侧录工具程序代码、从其他被黑网站加载侧录工具,以及把偷得的资料外泄给黑客。至于攻击者的身份为何,该公司则根据MakeFrame的特性来判断,认为是Magecart的第7组黑客所为。
Magecart是以侧录线上交易资料而恶名昭彰的黑客组织,之前售票网站TicketMaster、英国航空遭黑事件,都是这个组织所为。依据攻击的目标和方式特性,RiskIQ归纳出Magecart旗下有多个攻击小组。目前为止,RiskIQ总共发现了12个小组,其中这次发动攻击的第7组,大约是在2018年被首度发现,该组黑客原先的攻击目标,是针对中大型的电商平台,其中曾被披露的重大攻击事件,像是美国厨房用品制造商OXO,先后于2017年和2018年二度遭受该组黑客攻击。
不过,这次出现的攻击,对象属性与以往有所不同,RiskIQ指出,这次受害的购物商城,大多是中小企业所有,而且这些私人企业不若OXO有所名气,这也意味黑客试图更为低调,想要避免被安全人员揭穿。这种意图也从黑客侧录工具的程序代码里发现,RiskIQ指出,攻击者运用了多种层次的混淆手法,企图掩盖MakeFrame的侧录脚本。根据该公司的侦测,疫情爆发的这段期间,Magecart发动攻击的频率增加了20%,因此他们认为,这种锁定线上购物的侧录攻击,也相当值得各界加以提高警觉。