國際刑警組織(Interpol)與印尼警方在近期共同宣布逮捕了三名涉嫌進行跨國Magecart攻擊的印尼男子。
在這些攻擊(也被稱為e-skimming和web skimming)裡,駭客入侵了網站後端系統並插入惡意JavaScript程式碼(JS sniffer)。這些程式碼接著會收集在被入侵網站上進行交易的支付卡資訊。
這類型的攻擊從2016年就已經出現;常見的目標包括了網路商店、連鎖飯店、廣告公司,甚至是學校。在2019年,趨勢科技的研究人員發現Magecart積極地入侵了3,126家網路商店,這些商店都託管在知名電子商務平台Volusion上。
[延伸閱讀]
數千個網路商店被注入 Magecart信用卡盜卡程式,今年第三起類似事件!
專竊取信用卡的駭客集團Magecart,對277 個網站發動新一波攻擊
就像在 ATM 上安裝盜卡裝置一樣, 「Magecart」專偷線上刷卡資料
入侵程式碼內出現印尼文:Success gan ( 成功了兄弟)
被捕嫌犯從2017年開始就一直在使用JS sniffer來竊取支付卡號、姓名、地址和登入資訊。印尼警方已經證實該組織攔截了至少12家企業的付款行為,但很可能有更多公司遭受攻擊;來自Sanguine Security的專家認為該組織可能入侵了超過571家網路商店。他們的推論是根據嫌犯留在所有入侵程式碼內的一段印尼文:Success gan,翻譯過來就是成功了兄弟。
嫌犯透過VPN連到命令與控制(C&C)伺服器來隱藏自己的位置和身份。他們用偷來的付款資訊來購買新網域、電子商品及其他奢侈品。有些放在印尼電子商務網站上的商品以市價的一半出售。印尼警方估計,該組織獲利為3至4億盧比,約為30,000美元。
入侵超過200家企業,面臨最高10年的刑期
網路安全公司一直用GetBilling做為代號來追蹤該組織,這是嫌犯在程式碼內使用的JS函式。該公司與國際刑警組織合作來追踪駭客。聯合行動發現該組織的某些基礎設施位在印尼後,便立即通知該國警方。
這三名嫌犯於2019年12月20日在Night Night Fury行動中被捕,這是一項由國際刑警組織東南亞國家協會網路諮詢專案(ACCDP)領導的反盜錄調查活動。警察沒收了筆記型電腦、手機、CPU、ID、提款卡和BCA動態密碼卡。而在新加坡,有關當局關閉了兩台該組織的C&C伺服器。
GetBilling入侵了印尼、澳洲、歐洲、南美、美國和其他國家超過200家的企業。嫌犯因資料竊取、詐騙和電腦入侵等指控而面臨最高10年的刑期。
針對網路盜錄駭客的第一起成功跨國行動
有類似的網路攻擊跟GetBilling組織的基礎設施有關聯,這顯示出仍可能有其他漏網之魚。據說嫌犯只跟1%的Magecart攻擊事件有關,不過這起逮捕行動,被認為是針對網路盜錄駭客的第一起成功跨國行動。
在去年初,趨勢科技的機器學習(Machine learning,ML)和行為偵測技術主動地發現並封鎖了277個旅遊網站、著名化妝品、保健和服裝品牌網路商店的盜錄程式碼(JS_OBFUS.C)。
因為攻擊者經常會攻擊儲存管理敏感資料的應用程式或網站的漏洞,所以消費者必須了解可以採取哪些措施來保護私人資訊,尤其是在進行線上支付時。為了保護企業抵禦此類攻擊,資安和IT人員及程式開發者可以採用下列的最佳實作:
- 更新軟體、應用程式和網站平台
- 限制第三方外掛程式,只啟用必要的元件
- 定期評估自己的網路安全性、可用性和完整性
- 監視所有的網路活動來找出異常或未授權事件
[延伸閱讀]
如何設定雙重認證/雙因子認證? 給網路帳號雙重的保障
保護信用卡個資,並非網路購物唯一要考慮的隱私問題
趨勢科技PC-cillin;Smart Protection Network™ 和 Worry-Free Business Security ;Network Defense 和Hybrid Cloud Security(混合雲防護)等解決方案是由XGen安全防護技術所驅動,融合了多種威脅防護技術,能夠消除安全間隙並提供最大程度的保護。
@原文出處:3 Indonesian Hackers Arrested for Global Magecart Attacks, Other Members Still at Large