【網上碌卡好危險】黑客瘋狂利用Magento漏洞 2800網購平台被加料
不少網購平台就會採用 Magento 電子商務系統,貪其功能強大,接受的電子支付多樣化。不過,網絡安全公司 RiskIQ 最新發表的報告就指出,超過 2,800 間仍採用舊版本 Magento 的網購平台,正被 Magecart 黑客集團入侵,可盜取客戶輸入的信用卡詳細資料,呼籲用戶立即更新系統!
今次發現的漏洞名為 Cardbleed,早於今年 9 月已被網絡安全公司 Sansec 所發現。當時 Sansec 指出,Magento 1.x 版本系統由於已在今年 6 月底停止支援,同時有黑客在暗網上以 5,000 美元出售該版本可被利用的漏洞,於是在短短三日時間內,Sansec 已發現有 2,806 個網購平台被植入 card skimmer 惡意軟件。Sansec 專家指出,該漏洞可在毋須入侵網購平台下,利用 Magento Connect 功能自動下載惡意編碼,並且在安裝後自動銷毁。
經過兩個調查後,RiskIQ 鎖定發動攻擊的黑客集團為 Magecart Group 12,它是一個專門針對網購平台的黑客組織,受害者包括 Forbes、Garmin、P&G 等等,而在今年 2 月仍未決定取消東京奧運時,Magecart Group 12 亦曾入侵發售門票的olympictickets2020.com 網站。專家說該集團經常發掘不同漏洞,將惡意編碼安裝在網站內,例如今年 5 月就嘗試將惡意編碼藏在圖標 (favicon) 中,並上載至圖標素材網站供人下載,默默等待受害人出現。即使 C&C 中心多次被網絡安全公司封鎖,集團仍持續轉換新地點,令網購平台防不勝防。
作為消費者,由於無法檢視網購平台所使用的電子商務系統或版本,所以基本上只能依靠網購平台本身的安全檢測作業。如欲減低損失風險,消費者可通過其他途徑購買點數卡,又或申請一張 debit 卡作網購之用。
資料來源:https://bit.ly/3kA6Iu、https://bit.ly/2Un8pQL