websocket获取ip地址_新型skimmer攻击利用WebSocket逃避检测

点击上方 蓝字 关注我们 Akamai的研究人员发现一种新型skimmer攻击，其利用一种新技术提取信用卡的支付信息，该攻击针对多个电子商城。 攻击者使用伪造的信用卡论坛和WebSockets以窃取用户的财务和个人信息。 研究人员表明：“越来越多的电子商城 将其付款流程外包给第三方供应商，这意味着它们不在商店内部处理信 用卡数据。 为了克服该问题，攻击者创建了一张虚假的信用卡表单，并将其注入到应用程序的结帐页面。 渗透本身是由通过WebSockets完成的，其为攻击者提供了更隐蔽的渗透路径 。” 攻击者使用skimmer软件将加载器作为嵌入式脚本注入到网页源码中。一旦执行，将会从C2服务器(https[:]//tags-manager[.]com/gtags/script2)请求恶意的JavaScript文件。 从外部服务器加载脚本后，skimmer会将其生成的会话ID和客户端IP地址存储在浏览器的LocalStorage中。 攻击者利用Cloudflare的API获取用户的IP地址，然后使用WebSocket连接，从涉及结帐、登录和新帐户注册的页面中窃取敏感信息。 此次攻击的独特之处在于，它使用WebSockets(而不是HTML标签或XHR请求)从受感染站点中提取信息，使得攻击更加隐蔽。使用WebSockets可以绕过许多CSP策略。 研究人员注意到，对于那些通过第三方提供商处理付款过程的电子商店，skimmer在将页面重定向到第三方供应商之前，会在页面中创建虚假的信用卡表单。

END