“防”字当头,第三方脚本成为网络攻击“重灾区”
新冠肺炎疫情带来的大量不确定性正让人们越发依赖数字化工具,并使远程办公、学习、购物、娱乐等生活方式变为常态,随着人们对互联网的依赖达到了前所未有的程度,网络威胁发起者也在关注线上活动的迅猛增长,伺机而动,窃取终端用户个人信息并以此获利 。作为易操纵且适用范围广的攻击方式,第三方脚本攻击正在快速流行,对包括电子商务、媒体出版业网站在内的众多网站形成威胁 。
和其他以服务器为目标的攻击方式不同,第三方脚本攻击主要针对浏览器端发起攻击 。这种攻击方式较为隐蔽,企业较难使用传统手段进行防御和打击 。而一旦攻击者得手,造成的影响往往又是难以估量的 。其中的代表Magecart攻击就“攻陷”过许多备受瞩目的网站,包括奥运会售票网站、英国航空、Ticketmaster等 。RiskIQ的一项研究显示,疫情爆发的前几个月,Magecart攻击数量增长了20%[1] 。鉴于第三方脚本攻击形势愈加严峻,加上在线服务使用的继续增加为攻击者提供更多可乘之机,企业须做好充分的防范准备,应对这一迫在眉睫的新型网络攻击威胁 。
第三方脚本成为网络攻击“重灾区”
第三方脚本攻击的兴起源于第三方脚本的流行 。为使用户获得更丰富、便捷的Web体验,越来越多的网站通过第三方脚本为用户提供支付、预订等服务 。一方面,这些脚本都是通过第三方进行功能维护和更新,对于第一方而言通常未知,因此为第一方网站的自身安全性埋下了隐患 。另一方面,随着用户对网站功能多样化的需求增加,第三方脚本的大小与请求数正在飞速增长,这使得攻击面进一步扩大 。数据显示,2011年至2018年间,网页页面中的第三方脚本大小增长了706%,请求数增加了140%[2] 。以Akamai官网为例,如果使用可视化工具“Request Map”[3]来展现页面上所有请求的来源,会发现网站中超过50%的脚本都是来自第三方的脚本 。
具体而言,第三方脚本攻击往往从第三方、第四方网站开始 。攻击者通过将恶意代码添加到第三方脚本更新中,从而“穿透”平台的必要安全检查(例如WAF),进入供应链交付,最终在第一方网站页面上窃取个人识别信息(PII),再通过执行恶意代码,把这些数据发回给攻击者 。
文章插图
当前,第三方脚本攻击中最“臭名昭著”的莫过于Magecart攻击 。该攻击以Magecart这一黑客组织命名,专门使用恶意代码通过污染第三方和第四方的脚本,从终端用户提交的支付表单中窃取支付信息,以获取经济利益 。其具备以下几个特点:
第一,影响范围广 。该攻击不仅针对大型支付网站,任何有支付业务、需要在页面中提交表单的网站,无论大小,均有可能遭受此类攻击 。第二,攻击后果严重 。该攻击“威力”巨大,单一攻击事件就可以造成数以千计的网站感染、百万个信息被盗取 。在针对英国航空的Magecart攻击中,攻击者仅用22行脚本代码,就盗取了38万张信用卡的信息,相当于给犯罪分子送去1700多万美元的净收益[4] 。第三,攻击手段不断升级 。最近一次已知的Magecart攻击发生在今年4月,Magecart黑客团体采用名为“MakeFrame”的新型数据窃取器,将html iframes注入网页中以获取用户付款数据,成功地破坏了至少19个不同的电子商务网站[5] 。
事实上,像Magecart攻击这样的“表单劫持类”第三方脚本攻击还有很多种,例如黑客针对优化电商转换率的分析服务Picreel和开源项目Alpaca Forms发起的攻击都属于这一范畴 。2019年5月,攻击者通过修改Picreel和Alpaca Forms的JAVAScript文件,在超过4600个网站上嵌入恶意代码,“劫持”用户提交的表单[6] 。这种情况愈演愈烈,根据2019年《互联网安全威胁报告》,全球平均每个月有超过4800个不同的网站遭到类似的表单劫持代码入侵[7] 。
后患无穷:第三方脚本带来的安全风险
第三方脚本攻击利用的是第一方网站对第三方脚本的控制力不足和难以实现的全面监测,造成较为严重的攻击后果 。除此之外,第三方脚本还会带来一些其他的潜在隐患 。综合来看,第三方脚本带来的安全风险通常有以下几种:
数据窃取 。数据窃取是在用户端通过脚本窃取用户的个人数据和账单数据的一种钓鱼攻击 。2019年第四季度,某北美大型零售商的支付页面被攻击者盗取了姓名、电话、邮件和信用卡号码、安全码和过期日期等 。
推荐阅读
- 强人“锁”难,MySQL到底有多少锁?
- 教育部|教育部传出好消息,对“学历歧视”的第一学历,将不再限制专科生
- 褚时健|人到中年,需要一次“重启”!
- |职场上怎么防备对手?
- 华为|宝马牵手华为 华为应用商店登陆全新7系:可安装“宝宝巴士”
- 电动车|收割国外“韭菜” 小鹏P5欧洲四国开售:起售价最低27.93万元
- 韩信之死萧何后悔吗 萧何杀韩信的原因
- 论文|中科院内部邮件揭开知网“黑幕”:近千万续订费苦不堪言
- 冬季腹泻如何处理 4种预防措施要牢记
- 冬季老人谨防心血管疾病发作