Check Point 研究人員最近發(fā)現,犯罪分子采取一種新方式來(lái)欺騙通過(guò)時(shí)下風(fēng)靡的“全球速賣(mài)通”購物網(wǎng)站進(jìn)行節日購物的消費者。全球速賣(mài)通是阿里巴巴集團旗下最受歡迎的在線(xiàn)購物平臺之一,在全球范圍內擁有超過(guò)一億名客戶(hù),收入達 230 億美元。
發(fā)現此漏洞后,Check Point 研究人員立即通知全球速賣(mài)通,他們對網(wǎng)絡(luò )安全高度重視,在得到通知后兩天內便迅速采取行動(dòng)并解決了問(wèn)題。這一做法可圈可點(diǎn),為其它在線(xiàn)零售商樹(shù)立了榜樣。
這個(gè)被Check Point發(fā)現、然后通知全球速賣(mài)通馬上修復的漏洞是如此策動(dòng)攻擊的:犯罪分子可利用這個(gè)漏洞,發(fā)送一個(gè)包含惡意 Javascript 代碼的全球速賣(mài)通網(wǎng)頁(yè)鏈接,來(lái)攻擊全球速賣(mài)通用戶(hù)。一旦打開(kāi)該網(wǎng)頁(yè),用戶(hù)的網(wǎng)絡(luò )瀏覽器就會(huì )執行該代碼,從而利用網(wǎng)站上的開(kāi)放式重定向漏洞,繞過(guò)全球速賣(mài)通針對跨站腳本攻擊所采取的保護措施。
從理論上來(lái)說(shuō),網(wǎng)絡(luò )犯罪分子可以通過(guò)電子郵件釣魚(yú)活動(dòng),借助全球速賣(mài)通的常規客戶(hù)操作流程來(lái)發(fā)動(dòng)此攻擊,過(guò)程中幾乎不會(huì )有任何跡象讓用戶(hù)察覺(jué)正在發(fā)生異常或意外情況。因此,用戶(hù)可能根本無(wú)法察覺(jué)到任何“網(wǎng)絡(luò )釣魚(yú)”的蛛絲馬跡。
隨后,攻擊者會(huì )在全球速賣(mài)通下屬子域名下運行的主屏幕上顯示一個(gè)優(yōu)惠券彈出窗口,要求客戶(hù)提供信用卡詳細信息,以獲得更流暢、更高效的購物體驗。然而,此彈出窗口完全由攻擊者控制,其中輸入的所有信用卡信息均直接發(fā)送給攻擊者,而非購物網(wǎng)站。
近期報道顯示,自 2016 年以來(lái),發(fā)生于在線(xiàn)零售商的網(wǎng)絡(luò )攻擊已翻了一番,消費者應小心圣誕老人的胡須可能并不像看起來(lái)那樣潔白無(wú)瑕,并且在此節日期間,于任何網(wǎng)站進(jìn)行網(wǎng)購時(shí)都應當保持警惕。
欲了解關(guān)于此攻擊運行方式的詳細信息,請參見(jiàn)完整研究調查。
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司 (www.checkpoint.com <http://www.checkpoint.com>) 是全球首屈一指的網(wǎng)絡(luò )安全解決方案供應商,其客戶(hù)包括多國政府和企業(yè)。Check Point的解決方案在抵御惡意軟件、勒索軟件和各種威脅方面的表現領(lǐng)先業(yè)界,為客戶(hù)提供安全保護。Check Point 的多層次安全架構保護企業(yè)在云端、網(wǎng)絡(luò )和移動(dòng)設備信息的安全,以及提供最全面和可視化的單一安全控制管理系統。Check Point現為超過(guò)100,000個(gè)不同規模的組織提供安全保護。
