什么是 Magecart？

进入数字时代后，网络购物已成为许多人的一种生活方式。这种购物方式非常便捷，但也带来了网络犯罪的风险。Magecart 就是其中的威胁之一，这种类型的攻击以电子商务企业为目标，目的是窃取其客户的敏感信用卡信息。在本文当中，我们将探索 Magecart 的实质、其犯罪手段，最重要的是，如何才能保护您的企业免遭这种重大威胁的侵害。

Magecart 的名字源于电子商务平台 Magento，这种类型的网络攻击以电子商务企业为目标，以窃取敏感信息为目的，包括支付卡的数据。此类攻击是一种 Web 数据窃取形式，最初源自于 2015 年成立、以知名全球性品牌为目标的 Magecart 黑客组织。通过利用电子商务和其他在线服务平台中的第三方漏洞，攻击者能够将恶意代码注入到浏览器内的线上零售商支付页面，从而达到窃取信息的目的。随后，这些代码会在结账期间捕获网站访问者输入的支付卡详细信息，并将其发送到由攻击者控制的域以进行收集。

Magecart 攻击的检测难度很大 ，因为它们发生在浏览器内，并且恶意代码常常隐藏在零售商网站上的合法代码之内。这些攻击在客户端一侧执行，Web 应用程序防火墙 (WAF) 这样的常规 Web 安全方法无法检测出来。这样，Magecart 攻击就可以长期隐匿，客户可能完全意识不到自己正在一个已被入侵的网站上输入信用卡信息，从而使其敏感信息陷入险境。

规模庞大、目标明确的 Magecart 攻击有多种执行方式，但通常包括三个主要阶段：

渗透——攻击者通过各种途径获得零售商网站的访问权限，例如，利用网站上的脚本漏洞注入恶意代码，或者通过供应链攻击以第三方供应商为目标。

植入——攻击者不断开发各种植入方法，以窃取敏感信息并避免被检测出来。其手段的示例包括：

• 将恶意代码直接注入到品牌公司网站的敏感支付页面，以数字方式窃取信息
• 通过代码注入或篡改，在品牌公司的真实网站上直接创建虚假付款表单
  
• 重定向用户，使其在 URL 相似的欺诈网站上完成交易
  
• 伪装成已知的第三方供应商代码，例如 Google Tag Manager

数据渗漏——攻击者捕获客户输入的信用卡信息并发送到自己的服务器上，然后可能将其用于执行欺诈性购物，或在暗网上出售。

要想保护您的企业免遭 Magecart 攻击，就需要采用一种多层方法。您可以采取以下步骤来保护自己的网站，同时取得客户信任：

了解第三方的风险： 为自己网站内存在的所有第三方资源维护一份清单，并列明风险因素。验证每个代码是否定期经过供应商的漏洞审计。

保持软件的最新状态： 确保网站上使用的所有软件均已得到最新的安全修补，包括内容管理系统和支付处理软件。

客户端监测： 许多企业都构建了可信域的列表，通过内容安全策略 (CSP) 在其网站上执行。尽管 CSP 能够有效阻止未经授权的脚本，但是需要不断地进行维护，并且无法防御通过可信来源本身发起的攻击。关键在于，实施的解决方案必须能够监控并呈现在浏览器内执行的任何来源的脚本行为，从而识别攻击并相应加以保护。