【網上碌卡好危險】黑客瘋狂利用Magento漏洞 2800網購平台被加料

不少網購平台就會採用 Magento 電子商務系統，貪其功能強大，接受的電子支付多樣化。不過，網絡安全公司 RiskIQ 最新發表的報告就指出，超過 2,800 間仍採用舊版本 Magento 的網購平台，正被 Magecart 黑客集團入侵，可盜取客戶輸入的信用卡詳細資料，呼籲用戶立即更新系統！

今次發現的漏洞名為 Cardbleed，早於今年 9 月已被網絡安全公司 Sansec 所發現。當時 Sansec 指出，Magento 1.x 版本系統由於已在今年 6 月底停止支援，同時有黑客在暗網上以 5,000 美元出售該版本可被利用的漏洞，於是在短短三日時間內，Sansec 已發現有 2,806 個網購平台被植入 card skimmer 惡意軟件。Sansec 專家指出，該漏洞可在毋須入侵網購平台下，利用 Magento Connect 功能自動下載惡意編碼，並且在安裝後自動銷毁。

經過兩個調查後，RiskIQ 鎖定發動攻擊的黑客集團為 Magecart Group 12，它是一個專門針對網購平台的黑客組織，受害者包括 Forbes、Garmin、P&G 等等，而在今年 2 月仍未決定取消東京奧運時，Magecart Group 12 亦曾入侵發售門票的olympictickets2020.com 網站。專家說該集團經常發掘不同漏洞，將惡意編碼安裝在網站內，例如今年 5 月就嘗試將惡意編碼藏在圖標 (favicon) 中，並上載至圖標素材網站供人下載，默默等待受害人出現。即使 C&C 中心多次被網絡安全公司封鎖，集團仍持續轉換新地點，令網購平台防不勝防。

作為消費者，由於無法檢視網購平台所使用的電子商務系統或版本，所以基本上只能依靠網購平台本身的安全檢測作業。如欲減低損失風險，消費者可通過其他途徑購買點數卡，又或申請一張 debit 卡作網購之用。

資料來源：https://bit.ly/3kA6Iu、https://bit.ly/2Un8pQL