駭客將消費者信用卡資訊編碼且轉換成JPG圖檔,並存在受感染的電子商務網站中,減少可疑流量以逃避檢測。
在資安公司Sucuri的部落格中,揭露受感染的網站容易成為駭客的攻擊對象,因為他們調查了使用Magento 2的電子商務網站,發現被惡意植入的行為,而駭客的手段是,擷取網站使用者的Post請求資料,並在結帳頁面上,將這些資訊進行base64編碼,然後保存至JPG檔案中。
接著,Sucuri發現,Magento模組內的Session.php檔被注入惡意程式碼,然後此網站再載入其他惡意程式碼,接著建立並呼叫擷取身分資料的函式,並且將拿到的資料存在一個圖檔(pub/media/tmp/design/file/default_luma_logo.jpg)再存放在網頁中。此功能讓攻擊者能夠輕鬆存取及下載竊取到那些已轉為JPG的資料,不容易在初期檢查就會被發現。
由於,大部分資料幾乎都存放在Customer_參數中,所以被竊取的項目包括了使用者的電子郵件地址、姓名、通訊地址、信用卡、電話號碼,以及其他用戶詳細資訊。這些資料對於攻擊者而言,不僅竊取到信用卡資訊進行詐騙,還可能用於垃圾電子郵件或針對性的網路釣魚攻擊。
因此,Sucuri還建議網站的管理者,為防止被偷渡資料,可以實行網站監控或做完整性控制檢查網站,也讓管理者能夠簡單地發現異常或額外的新檔案存放在網站中。
.png)
資料來源:iThome