马特·麦克奎克
2022 年 2 月 2 日
窃取 ss 和 cc
1 月底，M alwarebytes报道称，超酷（*编辑意见）自平衡单人车制造商 Segway 成为 Magecart 攻击的受害者。此次攻击可能使多达 60 万访问者接触到嵌入在 Segway 网页中的恶意代码。当客户在 Segway 网站输入付款详细信息时，这些信息也会暴露给黑客，可能导致信用卡欺诈、身份盗窃以及 Segway 收入和声誉受损。

这不是一篇“受害者羞辱”的帖子——相反，2021 年 12 月，Source Defense 在 SC Magazine 上发表了一篇文章，预测并警告称，鉴于过去两年电子商务/在线交易的迅猛增长，Magecart 攻击者将在假期期间（及以后）行动。我们认为，就最近受到影响的组织而言，Segway 可能只是冰山一角。

我们当时就说过 — — 坚信不疑 — — 并且得到了这一消息和其他近期披露信息的支持，即客户端攻击对于在其网络资产上收集敏感信息的任何组织而言，都代表着真实且重大的第三方风险。

从巧妙的黑客攻击到地方性风险

Magecart 是安全社区创 whatsapp 号码数据 造的一个术语，用来描述使用类似技术和工具的一系列攻击团体。Magecart Group 12 是此次攻击中确定的特定团体。仅该团体就利用相同的技术入侵了数万个甚至数十万个网站。

“Magecart”这个词本身是两个词“Magento”和“购物车”的组合，它描述了此类攻击的最初实例的来源——Magento 网络电子商务平台内的购物车模块。

自从第一次发现 Magecart 攻击以来，已经过去了七年多的时间，随着时间的推移，攻击的复杂程度和影响都不断增加。如今，“Magecart”攻击可以指在公司向访问者提供的网页内进行的任何攻击，无论该公司是否使用 Magento，即使该公司完全不参与在线商务。

银行、金融服务公司、医疗保健组织，甚至政府都曾遭受过同样的攻击。由于这种演变，Source Defense 和网络安全社区的其他成员开始将这些事件称为“客户端攻击”，这意味着这些攻击发生在网站访问者的 Web 浏览器中，而不是公司自己的基础设施中。就在最近，Gartner 创造了“Web 应用程序客户端保护”一词来定义处理客户端攻击的解决方案类别，并预测这些解决方案将在短短几年内被大规模市场采用。

一切旧事物都焕然一新

Segway 被攻破是新旧技 联系该机构的目的是什么？ 术并存的一个有趣例子。Segway 确实使用了 Magento（该平台至今仍被广泛使用），这让 Group 12 得以进入该公司的 Web 应用程序。攻击者一旦获得访问权限，便会利用一种较新的技术，劫持一种称为“favicon”文件的行为。
“favicon”文件是一种文件类型，网站使用它来告诉 Web 浏览器在浏览器界面内 URL 旁边应显示什么图标。

图 1.《纽约时报》网站上的“favicon”文件。

攻击者能够将自己的恶意 中國資料庫 代码注入到图标图像本身中，从而隐藏有效载荷，不让网站扫描和代码分析工具发现。一旦 Web 浏览器检索到图标图像，代码就会执行，攻击就会在网页本身内展开。

由于网络浏览器允许浏览器内运行的任何代码完全访问网页上的任何信息，因此攻击者能够直接从访问者的浏览器中“窃取”付款信息。一旦收集到信息，攻击者只需利用浏览器自身的本机功能打开与互联网上其他计算机的网络连接，即可将信息发送到他们喜欢的任何地方。

Segway 攻击说明了有关客户端攻击的两个重要要点：

它们对每个网站都构成持续且已确定的风险，无论其平台、技术或目的如何

它们不断以新颖和创造性的方式发展，以挫败传统的网络安全技术和方法

汲取过去经验，掌控未来

Source Defense 认为，击败客户端攻击和消除客户端风险的最佳方法是采取主动的方法，并利用可以在攻击对您的业务或访问者造成损害之前阻止攻击的技术。通过管理在访问者的 Web 浏览器中运行的 Web 页面代码，Source Defense 客户端安全平台可以实时控制客户端代码可以做什么和不能做什么，甚至可以在攻击造成损害之前阻止新颖和有创意的攻击。