-
振东制药达霏欣创新推出“内服外治”方案:焕活毛囊新生
发布时间:2025/07/29
近年来,随着生活压力加剧、作息不规律及环境因素影响,脱发、白发问题呈现年轻化趋势,成为困扰现代人的普遍健康难题。面对庞大的市场需求,传统单一治疗手段逐渐显露出局限性。近日,专注毛发健康领域22年的达...
-
中信银行北京分行精准服务“双循环”战略 成功投资京东科技首单“出口转内销”ABS产品
发布时间:2025/07/11
近日,中信银行精准把握国家“畅通国民经济循环”战略机遇,成功投资京东科技发行的市场首单“出口转内销”主题ABS产品——“禾昱7-5资产支持专项计划”优先A级份额1.6亿元。 本项目积极响应国家“稳外贸、...
-
零食新鲜化,来伊份的产品溯源里藏着这些秘密···
发布时间:2023/07/03
在“新鲜零食”的战略引领下,“主板零食第一股”来伊份迈入了企业发展的第23个年头,其传统的线下溯源活动“寻鲜之旅”也已经发展至第九届,本次再度启程将探索芒果之乡——百色,继续为用户展现以“青山绿水”铸“新鲜零食...
-
雷科智途联合太平洋财产保险共同举办商用车AEBS防碰撞演示活动
发布时间:2022/01/04
2021年12月16日,“安全出行·科技护航”-商用车自动紧急制动系统(AdvancedEmergencyBrakingSystem,简称“AEBS”)防碰撞演示在山东省青岛莱西市隆重举行。出席本次活动的领导和嘉宾有:莱西市应急管理局副局长李凌云...
-
破记录的2万亿美元刺激计划中有什么?
发布时间:2020/03/27
经过几天的谈判,美国参议院今晚对第三项反对冠状病毒危机的法案进行投票。前两个法案着重于为医学研究提供资金并向病毒受害者提供经济支持,而“第三阶段”刺激法案则是对整个美国经济的大规模救助方案。这将花费...
-
世界在煤炭支持上花费了半万亿美元
发布时间:2020/03/17
全世界的国家有可能继续支持煤炭行业,而不是投资于成本更低,对环境更友好的风能和太阳能项目,从而浪费6400亿美元。 金融智囊团Carbon Tracker在周四发布的一份报告中说,全球60%的燃煤发电厂以比可再生能源替...
-
您还不知道怎么毫无危险的投资?
发布时间:2020/03/13
查看了许多财务平台,阅读有关加密货币、证券交易所的信息并没找到了答案? 我也处于过类似情况。我现在写出这篇文章,以帮助您与AlysDax公司一起开始工作! 前几天,我的朋友建议我AlysDax平台,哪个专为机构投...
-
MK FOREX提醒您:黄金:迈向短期阻力的路上
发布时间:2020/03/02
金价延续自1625美元/盎司开始的反弹 正常的RSI情况表明反弹将持续 关键的斐波纳奇回撤位,附近的上升趋势线限制了短线下跌 截至周四早间,金价在每盎司1,650美元附近。金价周三走出了U型走势。 黄金价格最近从162...
专注于客户端,以保护您的公司免受Magecart攻击
发布时间:2020/03/10 要闻 浏览次数:665
Magecart是指一个网络犯罪集团,专门从事通过掠夺在线支付表格来进行数字信用卡盗窃的网络攻击。在过去一年左右的时间里,它们引起了主流媒体的关注,他们最近的一次备受瞩目的攻击是对摄影零售商Focus Camera的攻击。他们的网站遭到Magecart攻击者的黑客攻击,他们注入了恶意代码,这些代码窃取了客户付款卡的详细信息-结帐时加载的脚本,用于捕获帐单信息并将其发送到攻击者的服务器。
去年,Focus Camera刚刚将他们的名字添加到了不断增长的知名组织列表中,这些组织在去年遭受了类似攻击(英国航空公司,Newegg,梅西百货)的受害者,通常有成千上万的客户的卡信息被盗。
Magecart信用卡掠夺方法通常是将恶意撇渣器的代码插入其目标的第三方提供商(这已称为基于Web的供应链攻击)。对英国航空公司的攻击,以及对Equifax,《福布斯》和成千上万的攻击,都是通过恶意代码实现的,这些恶意代码通过第三方注入公司网站,然后在其用户的浏览器中运行。这样,公司的网站或网络应用程序已成为窃取客户数据的理想平台。
而且,让我们不要忘记那些受攻击的公司所遭受的巨大财务损失。例如,在袭击英国航空公司之后,宣布信息专员办公室(负责维护英国信息权的公共利益)宣布,他们打算对违反GDPR的英国航空公司(BA)罚款1.839亿英镑。尽管BA愿意赔偿因违反而遭受财务损失的客户,但他们实际上从未承认对此违反行为承担责任。
如此高调的攻击所造成的声誉损失很难计算,有迹象表明,急救人员正在设法补偿受影响的个人,这是一种PPI风格的支出方案。因此,赌注很高。
那么,面对如此深远的后果的大规模攻击,组织又该怎么办呢?
发现您的安全隐患
如果您通过任何形式的电子商务平台或网站为客户提供服务,那么您确定客户所接收的网站内容就是您希望他们得到的内容吗?也就是说,您的潜在客户正在与之进行交互的网站是一个真正的网站,而不是已经被黑客篡改的网站?通常,企业主和安全团队都无法对这个问题有明确的答案。
数十年来对服务器端安全性的关注已导致客户端上发生的几乎所有事情(即浏览器和运行Magecart攻击的环境)都未引起人们的注意。
我们已经对Magecart攻击进行了事后分析,以至于我们现在了解到,无法保证完全防止此类攻击。但是,我们可以将注意力转移到客户端发生的事情上。如果组织仍然不能明确回答“我的用户访问我的结帐页面时,用户收到什么代码?”的问题,那么他们在Magecart蓬勃发展的客户方面存在巨大的安全漏洞。
了解并填补客户端的安全漏洞
并非所有Magecart团体都使用相同的策略来破坏电子商务网站。有些人选择第一方违规-直接破坏第一方服务器,或间接感染后来在构建过程中拉到服务器的代码,但大多数选择通过第三方进行攻击,这被认为是最薄弱的环节。
这种薄弱的链接通常是指公司在其网站上运行的脚本,例如实时聊天,小部件,分析或其他实用程序,因此使用它们的公司实际上对其安全性具有零控制权。由于攻击源自默认情况下可信任的来源(合法的第三方供应商),因此该恶意代码很容易绕过防火墙。
企业绝对应审查第三方代码及其供应商的安全性(或缺乏安全性)。但是,这常常使产品开发失去了优先级。最终,这项工作落到了客户端安全系统上–通常令人遗憾的是,似乎没有人能够阻止Magecart。
每次迭代,Magecart攻击都变得越来越复杂。 Magecart的最新版本正在使用漫游器检测技术来避免被某些安全解决方案检测到,从而更加难以阻止撇渣器进入其运行轨道。显然,我们应对这些攻击的方式以类似的方式演变是有道理的。
防范未来的攻击
那么,如何真正减轻Magecart风格的攻击呢?考虑到不断发展的安全心态,企业应该寻找能够检测到这些注入并迅速阻止Magecart攻击的方法,而不是寻找防止无法预防的恶意代码注入的解决方案。
第三方管理和验证是一个好的开始,但还远远不够。审查脚本可以改变行为,因此关键是仅在不改变其行为的情况下信任这些脚本。实时聊天脚本无需处理付款表格。永远不会发送信息的脚本永远都不能将数据发送到未经审查的域。通过采用纵深防御策略,不仅仅是审查代码,而且限制这些行为才是好的防御措施。
这就是组织失败的地方。某些Magecart攻击未被发现超过六个月,而且,正如我们从英国航空公司的泄密事件中了解到的那样,仅花了15天的时间(据称)就窃取了超过380,000客户的信用卡详细信息。这很清楚地表明,企业实际上并没有办法知道何时在其网站上运行了恶意撇渣器。因此,这是最迫切需要解决的问题-当Magecart分离器以某种方式进入公司网站时,公司必须能够立即检测到它,阻止代码并保护用户安全。
为了实现这一目标,组织应该部署一个网页监视解决方案,以便他们可以实时查看恶意代码,并为自动化Magecart缓解措施铺平道路。
持续不断的Magecart攻击浪潮恰恰显示出,从安全角度来看,准备不足的电子商务业务是多么的好。时间是关键。如果电子商务企业能够在几秒钟(而不是几个月)内检测到Magecart,那么我们正在寻找一个十年,其中Magecart的头条新闻天数已到。
