Jscrambler 发现,日本电子制造商卡西欧(Casio)的英国网站被植入了网页窃密程序,该程序会收集购买者的个人信息和支付卡信息。 卡西欧公司表示,至少有 17 个(可能更多)网站也被植入了同样的窃密程序,但并未透露这些网站的名称。 研究人员佩德罗・福尔图纳(Pedro Fortuna)透露:“所有受害网站都是从俄罗斯的同一主机托管提供商处加载了窃密脚本。据观察,尽管不同受害网站的窃密域名可能不同,但窃密程序代码本身(通用部分)在多种情况下极为相似,这表明它们可能是由同一个网页窃密生成工具创建的。不过,目前还无法确定这些活动是否来自同一个网页窃密威胁行为者。” Jscrambler 认为,这些网站是因为利用了 Magento 网店中安装的易受攻击组件而遭到入侵的。 该公司指出:“通常,窃密程序会特意将活动范围限制在受害网站的结账区域,因为用户会在该区域输入个人信息和支付数据。然而,这次攻击打破了这一模式,除了‘/checkout’页面外,窃密程序在其他所有页面都处于活跃状态。” “这种异常行为的原因与常规支付流程的改变有关。威胁行为者期望用户先将商品添加到购物车,然后前往‘/checkout/cart’购物车页面进行结账和付款。在购物车页面,窃密程序会捕获用户点击‘结账’按钮的操作,之后用户不会被带到‘/checkout’页面,而是会看到一个通过模态窗口弹出的虚假支付表单,要求用户输入个人详细信息。” 受害者输入并提交个人信息、联系方式和支付信息后,窃密程序会对这些信息进行加密,然后发送给不法分子。接着,受害者会看到一条虚假的错误信息,诱使他们在网站真正的结账页面重复上述操作。窃密程序显示的虚假错误信息(来源:Jscrambler) 福尔图纳补充道:“用户界面的变化,尤其是显示的错误信息以及要求用户输入两次支付细节的情况,对大多数人来说,确实应该足以让他们怀疑可能出了问题。然而,威胁行为者似乎仍在以一种看似草率的方式继续这样做,这充分表明大多数终端用户无法察觉自己正在遭受攻击,因此也没有发出警报。” 据 Jscrambler 称,该网页窃密程序在 1 月 14 日至 24 日期间的某个时间在卡西欧英国网站上开始活跃,他们于 1 月 28 日检测到了该程序。卡西欧英国公司在不到 24 小时内就移除了该窃密程序。 他们得出结论,尽管该网站设置了内容安全策略(CSP),但由于未配置违规反馈机制,所以未能阻止此次攻击。
