上週,英國航空公司透露,它是一次可怕駭客攻擊的受害者,涉及38萬銀行卡詳細資料被盜(號碼、有效期限和三位數安全代碼)。該公司的新聞稿沒有提供有關此事的一些技術細節。但在分析網路數據後,安全研究人員約納森‧克林斯曼從RiskIQ得出的結論是,這次行動是Magecart駭客組織所為。這已經在網路上肆虐了好幾年,尤其是駭客攻擊的根源英國票務大師去年六月。
兩起案件均造成大量銀行卡資料被竊。然而,駭客技術卻截然不同。在 Ticketmaster 案例中,駭客成功入侵了一家分包商的伺服器,該分包商為線上票務專家提供了以 Javascript 形式實現的支援服務。透過將惡意軟體插入此程式碼,駭客成功取得了客戶在 Ticketmaster 網站上輸入的銀行卡資料。
有針對性的攻擊
在英國航空公司的案例中,駭客顯然直接入侵了英國航空公司的伺服器,並設法將其惡意程式碼注入到 Modernizr Javascript 庫中,正如 Yonathan Klijnsman 能夠驗證的那樣。
該惡意程式碼使駭客能夠檢測到英國航空公司網站上付款表格的填寫情況。當客戶驗證此表單後,銀行卡資料的副本就會自動傳送到由駭客控制的 baways.com 網域上託管的第三方伺服器。與 Ticketmaster 駭客攻擊不同,這次攻擊更具針對性,代碼是針對航空公司的形式量身定制的。
我們才剛開始。因為很明顯,法車海賊團並沒有給自己任何喘息的機會。昨天,安全研究人員 Placebo 在 Feedify 的腳本中發現了它們的存在,Feedify 是一項被 4,000 多個網站使用的線上支援服務。對於網路使用者來說,風險是最大的。
https://twitter.com/Placebo52510486/status/1039585013057118209
這一系列的攻擊造成了一個大問題,因為它有可能破壞網路使用者對網路購物的信任。這些攻擊的性質證明,線上商店不夠安全,而且分包商的激增使盜竊風險成倍增加。為了快速增加自己的功能豐富度,有些網站不惜整合數十個第三方程式碼。監控所有這些不同程式碼的完整性並檢測惡意修改就成為一個真正的挑戰。
信用卡電子卡可以讓您抵禦這些攻擊
身為消費者,我們該如何保護自己?第一反應是啟動 3D Secure 服務(如果您的銀行提供)。它以簡訊發送的一次性代碼的形式添加了第二個身份驗證因素。在這種情況下,銀行卡資料已不足以進行欺詐性支付。問題是,並非所有線上賣家都實施 3D Secure 系統。因此,詐欺付款的風險並未完全消除。
另一個解決方案是訂閱虛擬銀行卡服務或“電子信用卡”。在這種情況下,銀行為客戶提供軟體,為每次線上購買產生卡號、有效期限和 CVV 代碼。此數據僅供一次性使用,因此不能重複用於其他購買。就算被偷了也沒關係。另一方面,這個過程仍然增加了線上購買的複雜性。