点击上方
蓝字
关注我们
Akamai的研究人员发现一种新型skimmer攻击,其利用一种新技术提取信用卡的支付信息,该攻击针对多个电子商城。
攻击者使用伪造的信用卡论坛和WebSockets以窃取用户的财务和个人信息。
研究人员表明:“越来越多的电子商城
将其付款流程外包给第三方供应商,这意味着它们不在商店内部处理信
用卡数据。
为了克服该问题,攻击者创建了一张虚假的信用卡表单,并将其注入到应用程序的结帐页面。
渗透本身是由通过WebSockets完成的,其为攻击者提供了更隐蔽的渗透路径
。”
攻击者使用skimmer软件将加载器作为嵌入式脚本注入到网页源码中。一旦执行,将会从C2服务器(https[:]//tags-manager[.]com/gtags/script2)请求恶意的JavaScript文件。
从外部服务器加载脚本后,skimmer会将其生成的会话ID和客户端IP地址存储在浏览器的LocalStorage中。
攻击者利用Cloudflare的API获取用户的IP地址,然后使用WebSocket连接,从涉及结帐、登录和新帐户注册的页面中窃取敏感信息。
此次攻击的独特之处在于,它使用WebSockets(而不是HTML标签或XHR请求)从受感染站点中提取信息,使得攻击更加隐蔽。使用WebSockets可以绕过许多CSP策略。
研究人员注意到,对于那些通过第三方提供商处理付款过程的电子商店,skimmer在将页面重定向到第三方供应商之前,会在页面中创建虚假的信用卡表单。
END