專家發現,部分採用電子商務系統 Magento 的網購平台再被黑客入侵,新的攻擊手法會將客戶的信用卡資料加密後放入 JPG 圖像,然後才外送至黑客操控的 C&C 中心,令網購平台及網絡安全工具難以發現! Magento 一向是網購平台喜愛採用的系統,因為它的功能較豐富,但亦同時成為黑客攻擊的目標之一,例如專用盜取信用卡資料的黑客集團 Magecart 就是當中的表表者,曾一度入侵超過 200 萬個使用了 Magento 的網站。此外,Magento 在上年 6 月停止對 1.x 版本作技術支援後,有黑客更在網上公然兜售…
Browsing: CreditCard
疫情下大家都習慣了網上購物,就算以往不熟悉如何網購,現在亦變成格價及集運高手。有大量金錢流轉的地方,黑客又怎會錯過?有網絡安全研究員便發現,黑客正借助網站頁面上的社交平台分享按掣圖標,隱藏惡意軟件的蹤影。只要你在網站上購物,信用卡資料就會同時送到黑客手上! Credit card skimmer 是一種專門入侵電商網站,再於結帳頁面植入惡意程式盜取客戶信用卡資料的攻擊手法。近年這種攻擊日益猖獗,當中 Magecart 黑客集團更是當中的表表者,不少知名網站如 newegg、Forbes 都曾中招。最近荷蘭網絡安全公司 Sansec 的研究員又發現,credit card skimmer 的入侵方法再度變招,而今次就向網站版面上的社交平台分享按掣圖標落手,同時將惡意軟件的組件拆散,從而繞過電商網站所採用的網絡安全工具的偵測。 研究員指出,黑客今次將部分惡意程式碼植入 SVG 格式的圖標內,而且亦用上 facebook_full、instagram_full 等指令,令整段編碼變得更加可信。只要網頁被瀏覽,惡意程式碼就會執行,並且繼續於網站伺服器的其他位置讀取剩餘的程式碼。研究員認為這種斬件式擺放方法有可能瞞過安全掃描器的偵測,因為即使偵測到其中一部分,也未必會發現其可疑之處。其實之前我們也曾報導黑客利用網站擺放於瀏覽器分頁的小圖標 (favicon) ,將惡意程式碼植入其中,並且將惡意程式碼轉成混浠碼(obfuscated…
香港人而家已經習慣電子支付,尤其係疫情下大家為咗避免用實體貨幣購物,更加速咗呢種付費方式。就算用信用卡俾錢,都傾向非接觸式付款,呢種方法嘅好處係設有金額上限,用嚟買啲幾百蚊貨仔嘅嘢,完全唔需要簽名認證,非常方便。不過,一班瑞士學者就發現呢種方法存在漏洞,可以突破金額限制進行交易,對卡主毫無保障! 正常嘅非接觸式支付過程,係 POS 收費系統發出收費指示後,卡主人拍卡進行付費,如果金額超過上限,就有需要額外輸入密碼去確認,不過專家就喺交換訊息過程中做手腳,將毋須額外密碼驗證嘅訊息傳返俾 POS 系統,成功突破盲腸。不過,要達成呢種攻擊手段,專家話要預備四種材料,首先要有兩部 Android 手機,開發小組研製嘅應用程式同埋一張非接觸式 VISA 信用卡。兩部智能手機要分別安裝 Android 特製程式,令佢哋分別模擬 POS 收費系統及信用卡,而呢兩個特製應用程式係唔需要破解手機先至可以安裝,專家話佢哋已成功喺 Google Pixel 及華為手機上試驗過,同埋亦喺真實店鋪內成功通過測試添! 至於運作過程又係點呢?首先扮演 POS 系統嘅…
睇開我哋嘅報導,應該知道而家喺盜用信用卡資料嚟講,邊個黑客集團最離譜。無錯,就係 Magecart 嘞。呢個慣犯好棘手,佢最叻就係喺網購網站加入一段好短嘅惡意程式碼,靜靜雞偷走用戶去網站買嘢時輸入嘅信用卡資料,英國航空、TicketMaster、Newegg、Forbes 等等好多大企業都中過佢哋招,有網絡專家調查後發現,Magecart 由2010年到而家,已經發展成超過十個小組,每個小組所採用嘅手法都唔一樣,而且愈後期出現嘅團隊,手法就愈複雜,增加偵查難度,真係搞到人人自危。 最近網絡安全專家 RiskIQ 又發表咗份報告,話 Magecart 攻陷嘅網站愈嚟愈多,而家已經超過 200 萬個網站中招,其中好多大企業都採用嘅網購平台 Magento 同埋 Opencart,更加係重災區。RiskIQ 專家話單係用 Magento 網購平台嘅已有 9,688 個網站存有…
VISA上月於中國舉辦的 VISA SECURITY SUMMIT 安全峰會上,提出為了加強信用卡客戶的安全保障,計劃讓全港合作商戶參與代碼化(Tokenization),將客戶的信用卡資料變成代碼,即使黑客攔截到這些代碼,也無法進行任何逆向破解。 VISA 在同場公布的港澳區「支付安全藍圖」內,更表明希望年交易宗數達 100 萬宗以上的商戶,可以在明年內採用資料代碼化,2021 年再擴展至所有合作商戶。到底這種代碼化技術有何獨到之處? 加密與代碼化技術 近年網上購物平台大熱,再加上形形式式的電子支付應用程式,令香港人習慣了使用電子支付服務。不過在支付較為大額的費用時,不少消費者仍傾向使用信用卡付費。VISA 上月在安全峰會上就指出,港澳區的無卡支付欺詐交易比率在去年第三季急升,為了提升信用卡用戶的安全,VISA 就希望能加快在香港推行代碼化技術。 對於電子支付的安全問題,大多數人都以為傳輸過程是以加密(Encryption)技術,將信用卡號碼、到期日等數據以金鑰加密,即使黑客中途攔截交易數據,在沒有金鑰下也難以破解。不過,由於這些數據被加密後未必可以維持原始格式,處理時有需要修改資料庫或檔案格式,而且傳輸的資料亦是原始資料,所以一旦金鑰外洩,就可逆向破解出原始資料。 非演算亂數無法破解 代碼化技術則以相同格式的亂數進行傳輸,舉例原來的信用卡號碼為 16 個位,代碼化後的亂數依然保持 16 個位格式,再加上當中不涉及任何數學演算對應關係,所以即使黑客攔截到這組代碼,亦難以估計這組代碼是原始資料抑或亂數,以信用卡為例,黑客便無法知道這 16 位數字是原來的版本抑或亂數後的版本,達到客戶去識別化的效果。現時 Apple Pay、Google Pay、Samsung Pay 均採用代碼化技術去處理交易資料。代碼化技術的另一好處,在於它可免於受由信用卡組織制定的 PCI-DSS(Payment Card Industry Data Security Standard)金融機構安全認證審查,大大省卻投放於達成標準所需的準備費用之上。代碼化技術除了可以應用在電子支付之上,為應付全球各國日益提升的個人私隱法例,它還可提升其他個人敏感資料、病歷紀錄的安全程度。 事實上代碼化技術亦有很多種類,到底它與傳統的加密法各有什麼優勢?要引入這項技術,電商或信用卡組織伙伴有什麼需要準備?如何選擇合適的電子支付服務,才能提升公司的營業額?網絡安全應用方案供應商 Edvance X Thales,將於下月舉辦工作坊,詳細講解代碼化技術的應用及解答業內人士的問題。名額有限,如欲了解代碼化技術的詳情及應用範疇,請即點擊報名連結。 Edvance…