在各式各样的网络威胁里,最常见的攻击形态,有钓鱼邮件、偷渡式下载(Drive-by Download)、僵尸网络攻击等等,而随着近年来网络购物变得相当普遍,黑客也暗中监听用户输入的交易资料,来盗卖个人信息或是用来发动其他攻击。尤其是今年的新冠肺炎疫情,导致许多人因居家隔离,必须通过电子商城,来取得生活所需的日用品,使得许多较为小型的电子商城,也成为黑客的攻击目标。
网页攻击策略出现重大转变
关于这种锁定线上交易内容的监听攻击,最常称为Web Skimming,也有人称为E- Skimming、Formjacking,而擅长发动此类攻击的黑客组织,主要是拥有多个攻击小组的Magecart集团。而且,最近3到4年,这类攻击事件,出现得相当频繁,例如,在2018年的前后,曾出现多起重大攻击事件,像是:订票网站TicketMaster、电商购物平台Newsegg、英国航空(British Airways)都传出受害消息,此时黑客的主要目标,多半以窃得大量个人信息为目的,而采取特定的攻击策略。
像是前述TicketMaster受攻击事件,发动者是Magecart第5组黑客,锁定该网站采用的即时通信服务Inbenta下手,进行供应链攻击,换言之,不只是Ticketmaster旗下多个网站受害,影响范围还包含其他同样采用Inbenta服务的网站。而Newsegg和英国航空的事件,是受到Magecart第6组黑客的攻击,原因可能是这两家公司网站拥有庞大的交易量。
但直到去年年底到今年上半,黑客的攻击手法出现许多变化,与以往的事件之中,他们倾向影响范围极大化策略,存在着明显不同。
从这些新兴手法来看,在近几个月的事件里,黑客采用更为细致及隐匿的做法,企图让电商网站难以发现他们的攻击行动,像是藏匿程序代码,甚至是借用合法的外部服务,达到里应外合。
躲藏在网页组件和外部服务里面,使得攻击行动更加隐匿
在大部分的网站监听攻击事件中,黑客往往借由网站的管理不当与配置错误,或者是组件的漏洞,进而在网页里植入脚本,来监听用户输入的交易内容。而为了让网站管理者难以发现,黑客往往会采用混淆手法,来大幅增加解读这些脚本的难度。
而在上述的混淆内容之余,近期攻击事件又出现了新的手法,增加网站管理者发现攻击的难度。
例如,在网站埋入监听程序代码的做法上,原本黑客会直接于网页的文件里面,加入执行的恶意指令,而最近却有黑客将指令藏匿到网站图标,也就是用户浏览网站时,在浏览器分页上所看到的网站代表图案,他们将程序代码存放在这个图片的EXIF字段。因此,管理者如果只检查网页程序代码是否有异动,很难发现已经遭到攻击。
从网站截取到的交易资料,黑客又是如何发送到自己手上?在大部分的攻击事件中,往往是借由事先架设的中继网站来作为渠道。不过,在今年6月下旬,杀毒厂商卡巴斯基,以及电商网站防护服务企业:PerimeterX和Sansec,披露滥用Google Analytics服务的手法,黑客申请这项流量分析服务,来接收窃得的交易资料,导致相关行踪更难被发现。