财经>财经要闻

问答:RiskIQ的Yonathan Klijnsma是攻击ABS-CBN商店的团体

2020-05-07

发布时间:2018年10月7日上午9:07
更新时间:上午9:09 AM,2018年10月7日

菲律宾马尼拉 - 继9月19日 ,我们希望了解更多有关黑客背后的群体的信息。

来自Magecart集团的黑客在ABS-CBN的店面上嵌入了恶意软件。 恶意软件在结账时从用户处收集信用卡信息。

发现该漏洞的荷兰安全研究员表示,恶意软件已于2018年8月16日或之前出现在店面上,这意味着它在被发现之前至少已经收集了一个月的数据。

在本次问答中,我们讨论了网络安全公司RiskIQ的经验,该公司过去几年一直在跟踪Magecart的运营情况。 与我们交谈的是RiskIQ的首席研究员Yonathan Klijnsma。

问:RiskIQ表示ABS-CBN商店黑客攻击背后的工作是一个名为Magecart的团队。 你能详细说明Magecart对我们的读者来说是什么吗? 它是来自一个国家或一组国家/地区的某种黑客合作社还是某种类型的网络犯罪组织?

Yonathan Klijnsma: Magecart是6个犯罪集团的伞形名称,针对在线电子商务网站窃取信用卡信息。

问:RiskIQ有多长时间监控与Magecart相关的在线活动?

YK:我们所知道的第一批活动发生在2015年初,但我们的指标即使在2014年仍然活跃。

问:Magecart是否有特定的风格或签名方法?

YK:各种组有多种操作方法(MO)。

在大多数情况下,这些群体中一致的“风格”是从支付页面中获取所有表单内容。

他们这样做的方式因组而异 - 某些组可以抓取任何形式,其他组明确查找付款信息并首先验证。

问:带领我们完成Magecart攻击。 Magecart如何窃取个人信用卡和信用卡信息? 他们如何将自己嵌入现有网站以窃取信息?

YK: Magecart攻击始于一个非常通用的步骤:违反他们所针对的组织。

他们获得访问权限,可以使用:

  • 默认凭据
  • 来自公共和非公共数据泄露的凭据
  • 利用过时的服务器软件,如fe Struts
  • 利用过时的CMS安装,如旧的Magento安装

一旦进入,他们将根据付款流程将自己注入正确的页面,或者只是在任何页面上注入他们的撇渣器代码。

许多撇渣器实施手动检查访客是否在结账页面上并且支付信息可用。

问:公司或服务有什么办法可以防止他们的攻击方式?

YK:他们需要了解面向互联网的攻击面,这是许多组织所缺乏的。

在RiskIQ,我们对Magecart检测有一个独特的角度,因为我们只是访问网站,就好像我们是真正的访客一样。 一旦我们访问了一个网站,我们就会观察到撇渣器激活,这在我们的系统中创建了一些事件,我们会向我们监控其网站的客户展示这些事件。

问:菲律宾有其他目标,还是其他菲律宾站点或服务受到了该组织的侵害?

YK:已经有了疯狂的妥协。 我们不能明确说明哪些是菲律宾的受害者,因为运营商并不总是使用顶级域名或他们所在的国家/地区。

问:除了ABS-CBN之外,RiskIQ还表示受Magecart攻击影响的其他公司包括Ticketmaster,British Airways和Newegg。

自RiskIQ开始跟踪Magecart攻击以来,有多少公司遭受过Magecart攻击?

YK:这很容易超过20到3万,我相信由于一些团队的运作方式,它会更高。

问:电子商务网站如何减轻此类网络攻击造成的损害?

YK:一般良好的安全实践,但也执行额外的完整性检查。

一种选择是监视您的服务器以进行任何类型的文件修改。

RiskIQ采取的一种方法是,我们监控所有资源,无论是本地托管还是远程,每当有变化时,我们都会通知客户这一变化,然后可以将其标记为良性或非良性。

问:假设攻击不可避免地影响在线购物者,普通用户可以采取哪些方法或紧接着的下一步措施来减轻这种黑客攻击的影响?

YK:让您的银行开具新卡,同时考虑在您的付款帐户上设置其他验证步骤。

银行并不总是默认启用它,但您可以在付款流程中添加第二步,您必须提供额外的付款证明。

这样,即使您的卡被撇去,付款也无法通过,因为攻击者无法执行第二步验证(例如双因素身份验证或一次性密码身份验证)。 - Rappler.com

有关过去Magecart攻击的更多信息可以在 。

责任编辑:夏逸