欧洲航天局官方商店在圣诞购物季遭遇黑客攻击，黑客通过在结账页面植入恶意代码，伪造支付页面窃取用户信用卡信息。攻击者利用与ESA商店相似的域名进行伪装，使得用户难以察觉。此次攻击不仅影响了购买商品的消费者，也可能威胁到ESA内部系统安全。尽管ESA声明商店并非其直接管理，但事件暴露出品牌授权合作方在网络安全上的薄弱环节。该事件提醒机构需要对外包平台实施更严格的安全审查，并加强域名管理和实时安全监控。

🚨黑客攻击：欧洲航天局官方商店在圣诞购物季遭黑客攻击，恶意代码在结账页面伪造Stripe支付页面，窃取用户信用卡信息。

🔒域名伪装：攻击者注册与ESA商店相似的域名，利用用户对官方域名的信任感，实施数据窃取，用户难以察觉异常。

⚠️安全风险：此次攻击不仅影响消费者，还可能威胁ESA内部系统安全，因该商店与ESA系统有集成关系，黑客可能间接获取敏感数据。

🛡️外包管理：ESA声明商店不属于其直接管理，但事件暴露出品牌授权合作方在网络安全上的薄弱环节，外包模式可能成为攻击者的突破口。

近日，欧洲航天局官方商店在圣诞节购物季遭黑客攻击，黑客在网页中植入恶意代码，在用户结账时窃取信用卡信息。

欧洲航天局（ESA）的预算超过100亿欧元，致力于培训宇航员、建造火箭和卫星，探索宇宙奥秘。然而，这个顶尖航天机构的官方商店的安全防护却非常业余，截至发稿，欧洲航天局官方商店页面仍未恢复：

ESA官方商店首页显示“站点暂时偏离轨道，进行令人兴奋的整修” 来源：ESA

事件概述：恶意脚本伪造支付页面

数天前，安全公司Sansec发现欧洲航天局官方在线商店被注入了一段恶意JavaScript代码（下图），该代码会在结账页面生成一个伪造的Stripe支付页面，窃取客户输入的支付卡信息。

恶意代码利用ESA官方商店的合法外观进行伪装，使得用户难以察觉异常。攻击者通过在代码中加载Stripe SDK的混淆HTML版本，呈现了一个视觉上毫无破绽的假支付页面，并将数据发送至攻击者控制的外部域名。

Sansec进一步调查发现，黑客的伪装手段高明，通过注册与ESA商店相似的域名“esaspaceshop[.]pics”实施数据窃取，而ESA官方商店的合法域名为“esaspaceshop.com”。这种“顶级域名（TLD）”的差异使攻击者能够利用用户对官方域名的信任感。

域名伪装是常见的攻击手段，攻击者会选择外观和名称与合法网站极为相似的域名，以增加攻击的可信度，并利用与官方商店的整合为恶意代码提供伪装，用户很难察觉。

受影响范围：客户和员工风险并存

Sansec表示，这一攻击不仅影响购买ESA商品的消费者，也可能对ESA内部系统构成威胁。由于该商店似乎与ESA的某些系统有集成关系（需使用ESA员工邮箱登陆），黑客可能通过恶意代码间接获取敏感数据，甚至威胁ESA员工的数字安全。

一家专注于网络应用安全的公司Source Defense Research也确认了Sansec的调查结果，并捕获了假Stripe支付页面的加载过程。这一页面伪装得极为巧妙，几乎无法通过肉眼识别异常。

ESA回应：商店不属于官方管理

在网络安全媒体BleepingComputer的询问下，ESA回应称，这家商店并非托管在ESA的官方基础设施上，ESA也不直接管理其数据。通过简单的WHOIS查询可确认，这家商店的域名注册信息与ESA的官方域名（esa.int）分离，且注册人的联系方式被隐私保护掩盖。

尽管ESA声明商店不属于其直接管理，但事件暴露出其品牌授权合作方在网络安全上的薄弱环节。这种外包管理模式可能成为攻击者的突破口。

截至目前，ESA在线商店虽然已经移除假Stripe支付页面，但其网站源码中仍存在恶意脚本。这意味着，尽管支付流程的直接风险有所降低，潜在的安全隐患依然存在。

品牌授权的网络安全挑战

ESA在线商店的攻击事件是一个典型案例，反映出品牌授权模式在网络安全管理中的潜在风险。特别是当授权的外部平台未能执行严格的安全审查时，品牌自身的声誉和用户的安全都会受到威胁。以下几点值得注意：

外包平台的安全责任。ESA将商店授权给第三方运营，虽然减轻了运营负担，但也失去了对数据安全的直接控制。未来，机构需要与外包方签订更严格的安全协议，并定期进行安全审查。

域名管理的重要性。黑客利用相似域名实施攻击，这提醒机构在注册域名时应覆盖常见TLD变体，以减少此类伪装的可能性。

实时安全监控。恶意代码注入事件表明，即使是知名品牌的在线服务，也需要部署实时威胁检测系统，迅速发现和处理异常。

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。