電子支付時(shí)代的“側(cè)錄竊密”,電子支付和互聯(lián)網(wǎng)金融之間的關(guān)系-ESG跨境

電子支付時(shí)代的“側(cè)錄竊密”,電子支付和互聯(lián)網(wǎng)金融之間的關(guān)系

電子支付時(shí)代的“側(cè)錄竊密”

臨近年底，電商的一系列大促活動(dòng)又要開始了。作為商家，你在為此做準(zhǔn)備的同時(shí)，有沒有考慮過如何更好的保護(hù)你的客戶，尤其是他們的機(jī)密信息包括銀行卡信息不被黑客竊取

進(jìn)化中的側(cè)錄和竊取

過去，我們經(jīng)?？梢詮男侣剤?bào)道中看到這樣的悲劇:儲(chǔ)戶在ATM或POS機(jī)上操作時(shí)，不法分子會(huì)通過預(yù)裝的攝像頭、讀卡器、密碼鍵盤等設(shè)備竊取銀行卡信息，然后利用這些信息牟利。這是一種“側(cè)錄”。由于這些惡意設(shè)備不會(huì)影響ATM/POS機(jī)的正常使用，儲(chǔ)戶往往很難在第一時(shí)間察覺，不知不覺中就會(huì)損失慘重。

這兩年，使用自動(dòng)取款機(jī)的人越來越少，使用網(wǎng)上支付服務(wù)的人越來越多。那么，這種針對(duì)自動(dòng)取款機(jī)的側(cè)寫攻擊是否沒有市場(chǎng)不要很多時(shí)候，簡(jiǎn)介記錄還在繼續(xù)，但也已經(jīng)全面轉(zhuǎn)移到線上，從原來的攻擊ATM/POS機(jī)，到攻擊電商網(wǎng)站的支付頁(yè)面

由第三方腳本導(dǎo)致的網(wǎng)頁(yè)配置文件

如今為了提供更豐富的功能(如營(yíng)銷自動(dòng)化、個(gè)性化服務(wù)、分析、社交媒體整合、登錄和支付等。)，很多網(wǎng)站的頁(yè)面上往往會(huì)嵌入大量的第三方腳本。由于這些腳本不是網(wǎng)站自己管理的，網(wǎng)站所有者很難在最短的時(shí)間內(nèi)發(fā)現(xiàn)惡意行為。

一旦網(wǎng)頁(yè)中嵌入的第三方腳本被攻擊者攻擊并注入惡意代碼，這些惡意代碼就會(huì)直接在網(wǎng)頁(yè)上運(yùn)行并執(zhí)行各種危險(xiǎn)行為，比如記錄用戶的登錄賬戶憑證，甚至更嚴(yán)重的可能會(huì)記錄用戶在進(jìn)行支付時(shí)輸入的銀行卡信息...

目前，像這樣的攻擊在世界各地極為普遍。比如前段時(shí)間新聞里廣泛報(bào)道的Magecart攻擊，就是由網(wǎng)頁(yè)上的第三方腳本引起的。許多大公司，甚至一些世界上最大的網(wǎng)站，都是這種攻擊的受害者。

看直播，學(xué)習(xí)如何應(yīng)對(duì)

Akamai頁(yè)面完整性管理器(PIM)是一種通過檢測(cè)和緩解腳本漏洞來增強(qiáng)網(wǎng)頁(yè)完整性的解決方案。它可以通過先進(jìn)的行為檢測(cè)和漏洞檢測(cè)技術(shù)以及靈活的策略管理能力，幫助用戶防范隱藏在網(wǎng)頁(yè)中的惡意代碼，掌握腳本攻擊趨勢(shì)。

10月15日，Akamai高級(jí)售前顧問李通過保護(hù)用戶信息和防止Web數(shù)據(jù)泄露的直播，介紹了腳本攻擊的現(xiàn)狀和發(fā)展趨勢(shì)，以及Magecart等群體對(duì)JavaScript生態(tài)系統(tǒng)構(gòu)成的威脅。此外，他還詳細(xì)分享了Akamai提供的解決方案，包括PIM。

簡(jiǎn)單來說，在腳本安全方面，我們需要注意以下幾個(gè)關(guān)鍵點(diǎn):

現(xiàn)代網(wǎng)絡(luò)應(yīng)用越來越依賴于動(dòng)態(tài)的數(shù)字供應(yīng)鏈。

惡意代碼已經(jīng)開始滲入第一方和第三方代碼。

傳統(tǒng)的廠商管理、CSP、SRI、靜態(tài)掃描保護(hù)都跟不上規(guī)避技術(shù)。

從客戶端的執(zhí)行時(shí)間實(shí)時(shí)檢測(cè)JavaScript行為，可以有效地檢測(cè)和緩解攻擊。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。