Akamai：電子支付時代的“側(cè)錄竊密”，你該如何應(yīng)對？

臨近年底，電商的一系列大促活動又要開始了。作為商家，當(dāng)你為此鼓足干勁做準(zhǔn)備的同時，有沒有考慮過該如何更好地保護(hù)你的顧客，尤其是保護(hù)他們包括銀行卡信息在內(nèi)的各類機(jī)密信息不被黑客竊取？

側(cè)錄竊密在進(jìn)化

過去，我們經(jīng)?？梢詮男侣剤蟮乐锌吹筋愃七@樣的悲?。簝粼贏TM或POS機(jī)上進(jìn)行操作時，不法分子會通過預(yù)先安裝的攝像頭、讀卡器、密碼鍵盤等設(shè)備盜取銀行卡信息，進(jìn)而利用這些信息牟利。這就是一種“側(cè)錄”。由于這些惡意設(shè)備并不會影響ATM/POS機(jī)的正常使用，儲戶往往很難第一時間察覺，并在不知不覺中承受重大損失。

這兩年，用ATM機(jī)的人越來越少，使用在線支付服務(wù)的人越來越多，那么針對ATM機(jī)的這種側(cè)錄攻擊是否就沒有市場了？并不會！很多時候側(cè)錄還在進(jìn)行，只不過也已經(jīng)全面轉(zhuǎn)到線上，從原本針對ATM/POS機(jī)進(jìn)行的攻擊，轉(zhuǎn)為針對電商網(wǎng)站的付款頁面進(jìn)行攻擊！

第三方腳本導(dǎo)致的網(wǎng)頁側(cè)錄

如今，很多網(wǎng)站為了提供更豐富的功能（例如營銷自動化、個性化服務(wù)、分析、社交媒體集成、登錄和支付等），往往會在頁面上嵌入大量第三方腳本。由于這些腳本并非網(wǎng)站自行管理的，倘若其中存在惡意行為，網(wǎng)站所有者很難在最短時間內(nèi)察覺到。

一旦網(wǎng)頁上嵌入的某個第三方腳本被攻擊者攻擊并注入惡意代碼，這些惡意代碼就會在網(wǎng)頁上直接運(yùn)行，并執(zhí)行各種危險的行為，例如記錄用戶的登錄賬戶憑據(jù)，甚至更嚴(yán)重一些，可能會記錄用戶付款時輸入的銀行卡信息……

目前，類似這樣的攻擊在全球范圍內(nèi)已經(jīng)極為普遍，例如前段時間新聞廣泛報道的Magecart攻擊就是因?yàn)榫W(wǎng)頁上的第三方腳本導(dǎo)致的。很多大型公司，甚至不乏一些全球范圍內(nèi)規(guī)模最大的網(wǎng)站都曾是這類攻擊的受害者。

回看直播，了解如何應(yīng)對

Akamai Page Integrity Manager（PIM）是一種通過檢測和緩解腳本漏洞來增強(qiáng)網(wǎng)頁完整性的解決方案，可通過先進(jìn)的行為檢測和漏洞檢測技術(shù)，配合靈活的策略管理能力幫助用戶防范網(wǎng)頁中隱藏的惡意代碼，并掌握腳本攻擊動向。

10月15日，Akamai高級售前顧問李岳霖通過《保護(hù)用戶信息，防范網(wǎng)頁數(shù)據(jù)泄露》在線直播，介紹了腳本攻擊的現(xiàn)狀和發(fā)展趨勢，以及Magecart等團(tuán)體對JavaScript生態(tài)系統(tǒng)構(gòu)成的威脅，此外還詳細(xì)分享了包括PIM在內(nèi)Akamai提供的解決方案。

簡單來說，在腳本安全方面，我們最需要注意下列這些重點(diǎn)：

·現(xiàn)代網(wǎng)絡(luò)應(yīng)用程序越來越依賴動態(tài)的數(shù)字供應(yīng)鏈

·惡意代碼已開始滲透第一方和第三方代碼

·傳統(tǒng)的廠商管理、CSP、SRI和靜態(tài)掃描防護(hù)都已經(jīng)跟不上回避技術(shù)

·從客戶端的執(zhí)行時間實(shí)時檢測JavaScript行為，能有效察覺并緩解攻擊