電子支付時代的“側錄竊密”,電子支付和互聯(lián)網(wǎng)金融之間的關系

電子支付時代的“側錄竊密”

臨近年底，電商的一系列大促活動又要開始了。作為商家，你在為此做準備的同時，有沒有考慮過如何更好的保護你的客戶，尤其是他們的機密信息包括銀行卡信息不被黑客竊取

進化中的側錄和竊取

過去，我們經(jīng)常可以從新聞報道中看到這樣的悲劇:儲戶在ATM或POS機上操作時，不法分子會通過預裝的攝像頭、讀卡器、密碼鍵盤等設備竊取銀行卡信息，然后利用這些信息牟利。這是一種“側錄”。由于這些惡意設備不會影響ATM/POS機的正常使用，儲戶往往很難在第一時間察覺，不知不覺中就會損失慘重。

這兩年，使用自動取款機的人越來越少，使用網(wǎng)上支付服務的人越來越多。那么，這種針對自動取款機的側寫攻擊是否沒有市場不要很多時候，簡介記錄還在繼續(xù)，但也已經(jīng)全面轉移到線上，從原來的攻擊ATM/POS機，到攻擊電商網(wǎng)站的支付頁面

由第三方腳本導致的網(wǎng)頁配置文件

如今為了提供更豐富的功能(如營銷自動化、個性化服務、分析、社交媒體整合、登錄和支付等。)，很多網(wǎng)站的頁面上往往會嵌入大量的第三方腳本。由于這些腳本不是網(wǎng)站自己管理的，網(wǎng)站所有者很難在最短的時間內發(fā)現(xiàn)惡意行為。

一旦網(wǎng)頁中嵌入的第三方腳本被攻擊者攻擊并注入惡意代碼，這些惡意代碼就會直接在網(wǎng)頁上運行并執(zhí)行各種危險行為，比如記錄用戶的登錄賬戶憑證，甚至更嚴重的可能會記錄用戶在進行支付時輸入的銀行卡信息...

目前，像這樣的攻擊在世界各地極為普遍。比如前段時間新聞里廣泛報道的Magecart攻擊，就是由網(wǎng)頁上的第三方腳本引起的。許多大公司，甚至一些世界上最大的網(wǎng)站，都是這種攻擊的受害者。

看直播，學習如何應對

Akamai頁面完整性管理器(PIM)是一種通過檢測和緩解腳本漏洞來增強網(wǎng)頁完整性的解決方案。它可以通過先進的行為檢測和漏洞檢測技術以及靈活的策略管理能力，幫助用戶防范隱藏在網(wǎng)頁中的惡意代碼，掌握腳本攻擊趨勢。

10月15日，Akamai高級售前顧問李通過保護用戶信息和防止Web數(shù)據(jù)泄露的直播，介紹了腳本攻擊的現(xiàn)狀和發(fā)展趨勢，以及Magecart等群體對JavaScript生態(tài)系統(tǒng)構成的威脅。此外，他還詳細分享了Akamai提供的解決方案，包括PIM。

簡單來說，在腳本安全方面，我們需要注意以下幾個關鍵點:

現(xiàn)代網(wǎng)絡應用越來越依賴于動態(tài)的數(shù)字供應鏈。

惡意代碼已經(jīng)開始滲入第一方和第三方代碼。

傳統(tǒng)的廠商管理、CSP、SRI、靜態(tài)掃描保護都跟不上規(guī)避技術。

從客戶端的執(zhí)行時間實時檢測JavaScript行為，可以有效地檢測和緩解攻擊。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯(lián)系。