专精于预防信用卡监听的荷兰安全企业Sansec本周指出,他们发现黑客趁着新冠肺炎(COVID-19)疫情期间,知名饰品品牌Claire’s所有实体商店都休息的情况下,锁定了Claire’s的官网发动Magecart攻击,在官网上植入了信用卡监听程序,以窃取Claire’s客户的信用卡信息。
在电子商务网站的结账页面上植入监听程序,以窃取信用卡信息的攻击行为,被统称为Magecart。根据美国安全企业RiskIQ的观察,Magecart手法最早出现在2010年的8月,有时是借由第三方服务进驻电子商务网站,有时则直接于电子商务网站植入监听程序,可怕的是,大多数的电子商务网站所有人都无法查看其程序代码,使得这些监听程序可能存在数周、数月,甚至更久的时间。
RiskIQ发现,全球有超过1.8万台主机遭到Magecart入侵,也在网络上找到了573个与Magecart攻击有关的命令暨控制域名,意味着这是个非常普遍的现象。
而Claire’s的事件则印证了RiskIQ的观察。Sansec说,Claire’s是在今年的3月20日关闭了全球超过3,000家的实体门店,隔天就有人注册了claires-assets.com,不过,该域名蛰伏了4周都毫无动静,一直到4月的最后一周,研究人员发现Claire’s及其姐妹品牌Icing的官网,都被植入了监听程序,并将所搜集的信用卡信息发送到claires-assets.com。
黑客是将监听程序直接嵌入网站上合法的app.mis.js文件中,代表黑客已经取得了网站的写入权限,而其监听程序则是附加在结账格式的“提交”(submit)按钮上,代表消费者一提交自己所输入的信用卡信息,就会被记录,且是以图片文件记录。研究人员猜测,这可能是因为图片文件较容易绕过安全系统。此外,该监听程序一直到6月13日才被移除。
Claire’s坦承了这项意外,并说有未经授权的用户于该平台上植入程序代码,用以取得消费者在结账时所输入的支付卡信息,除了已移除恶意程序之外,也正在进行鉴识并通知受影响的用户。该事件只波及电子商务网站,并未影响实体店面。
Claire’s并未公布黑客入侵的渠道,Sansec则推测,黑客可能是取得了外泄的管理员凭证,或针对该站员工展开鱼叉式网络钓鱼攻击,也可能只是单纯入侵了该站的内部网络。