文章来源:https://securityaffairs.co
原文链接:https://securityaffairs.co/wordpress/110982/hacking/skimmer-attack-websockets.html
专家发现了一种新的撇渣器攻击,该攻击使用另一种技术从支付卡中窃取了支付信息。
Akamai的研究人员发现了一种新的分离器攻击,该攻击以一种利用新技术窃取数据的技术为目标,攻击了多家电子商店。
威胁参与者正在使用伪造的信用卡论坛和WebSockets来窃取用户的财务和个人信息。
“在线商店越来越多地将其付款流程外包给第三方供应商,这意味着他们不处理商店内部的信用卡数据。为了解决这个问题,攻击者创建了一张虚假的信用卡表格,并将其注入应用程序的结帐页面。渗透本身是通过WebSockets完成的,WebSockets为攻击者提供了更安静的渗透路径。”阅读Akamai发表的帖子。
黑客使用软件分离器将加载程序作为嵌入式脚本注入到页面源中。一旦执行,就会从C2服务器请求一个恶意JavaScript文件(位于https [:] // tags-manager [。] com / gtags / script2)。
从外部服务器加载脚本后,skimmer将在浏览器的LocalStorage中存储它生成的会话id和客户端IP地址。
攻击者利用Cloudflare的API获取用户的IP地址,然后使用WebSocket连接从涉及结帐,登录和新帐户注册页面的页面中泄露敏感信息。
这种攻击的独特之处在于,它使用WebSockets而不是HTML标签或XHR请求从受感染的站点中提取信息,从而使该技术更加隐蔽。使用WebSockets可以绕过许多CSP策略。
专家注意到,对于那些通过第三方提供商处理付款过程的电子商店,分离器在将页面重定向到第三方供应商之前会在页面中创建伪造的信用卡表单。
“ Akamai几乎每周都会看到新的和经过微妙修改的Web应用程序客户端攻击,例如本例。考虑到浏览器内部攻击的本质和供应链的模糊性,传统的依赖CSP的方法会错过大多数此类攻击。”公司总结。
“我们的安全产品组合已经接受并投资了一种名为Page Integrity Manager的网络浏览保护产品,该产品侧重于脚本执行行为,并且对运行时环境具有空前的可见性。它收集有关网页中运行的不同脚本,它们执行的每个操作以及它们与页面中其他脚本的关系的信息。将此数据与我们的多层检测方法结合在一起-利用启发式,风险评分,AI和其他因素-使Page Integrity Manager可以检测不同类型的客户端攻击,重点是数据泄露和Web掠夺攻击。”
转载侵删