1、什么是 Magecart?
“Magecart”这个名字指的是几个黑客组织,他们使用在线浏览技术窃取网站上的个人数据——最常见的是接受在线支付的网站上的客户详细信息和信用卡信息。Magecart 组织已经成功入侵了许多知名品牌。这个名字的灵感来自这些组织的最初目标——Magento 平台,该平台为零售商网站提供结账和购物车功能。
2、Magecart 攻击的影响
以下是 Magecart 攻击的几个潜在影响:
• 窃取个人信息——虽然 Magecart 攻击的主要目标是信用卡信息,但攻击者也可以窃取个人信息。这可能会影响数百万购物者。
• 收入损失——之前被 Magecart 入侵的中小型电子商务零售商可能会看到在线销售大幅下降。这是因为客户可能会对零售商防止再次入侵的能力失去信任。
• 进一步感染——如果 Magecart 组织窃取用户登录名和管理员凭据,他们可能会扩大攻击范围以感染其他网站。例如,在 VisionDirect.co.uk 入侵期间,Magecart 组织不仅感染了主站点,还感染了其他七个欧洲国家的零售站点。
• 法律和合规性损害——Magecart 攻击使公司面临受影响客户的诉讼、法律处罚(如果公司受到 GDPR 等法规的约束)以及行业处罚(例如 PCI DSS 审计和无法处理信用卡)。
3、Magecart 受害者示例
以下是一些受到 Magecart 组织攻击的组织的著名示例。
1)Magento
Magecart 最初针对 Magento(一种第三方购物软件)。Magecart 这个名字是“购物车”和“Magento”的组合,至今 Magento 和其他电子商务软件提供商(如 OpenCart)仍是 Magecart 组织的主要攻击目标。
2)英国航空公司
英国航空公司公开宣布其网站以及移动应用程序遭到入侵。威胁者成功窃取了 38 万名英国航空客户的支付信息。
据 RiskIQ 称,此次入侵是由 Magecart 实施的。威胁者能够通过利用其独特的功能和结构直接入侵英国航空的网站。
Magecart 攻击者从英国航空的网站复制了 JavaScript 支付表单,然后修改了表单,使其将支付信息发送到攻击者控制的服务器。为了避免被发现,攻击者确保表单在最终用户浏览器中继续按预期工作。
此外,攻击者知道英国航空的移动应用程序也使用了与 Web 应用程序类似的功能。这意味着通过入侵网站,攻击者还可以访问移动应用程序。38 万名受害者中的许多人实际上是移动应用程序用户。
3)Amazon S3 存储桶
RiskIQ 透露,Magecart 集团入侵的第三方 Web 供应商比之前报道的要多得多。事实上,据发现,这些攻击者实际上已经使用 skimmer 自动完成了入侵网站的过程。他们通过主动扫描配置错误的 Amazon S3 存储桶实现了这一目标,然后他们入侵了大量 S3 存储桶,影响了超过 17,000 个域名——其中许多网站甚至出现在 Alexa 排名的前 2,000 名中。
4)Hanna Anderson
2020 年,美国儿童服装制造商和在线零售商 Hanna Andersson 透露,其电子商务在线购买平台遭到黑客攻击,恶意代码被注入,近两个月来窃取客户的支付信息。
与 Magecart 攻击经常发生的情况一样,这次攻击一直没有引起注意,直到被盗的信用卡出现在暗网上。由于此次违规,Hanna Andersson 同意支付 40 万美元的加州消费者隐私法案 (CCPA) 相关违规诉讼费用。根据和解协议,2019 年 9 月 16 日至 11 月 11 日期间在 Hanna Andersson 网上商店购物的 20 多万名美国客户有资格根据协议获得赔偿。