行業新聞與部落格

scrambler 的網路安全研究人員發現了一種利用 Stripe API 竊取支付資訊的新型盜刷攻擊。

此次攻擊會將惡意指令碼注入電子商務結賬頁面，透過實時攔截和洩露客戶付款詳細資訊來運作。

與經常插入惡意支付表單的傳統盜刷器不同，此次活動利用合法的 Stripe API 竊取資料。

根據 Jscrambler 今天釋出的新公告，攻擊者將 JavaScript 直接注入結帳頁面，從而能夠在信用卡詳細資訊到達 Stripe 的安全處理系統之前獲取這些資訊。

該惡意軟體有效地模仿了合法功能，使檢測變得困難。它會等待客戶輸入付款詳細資訊，然後悄悄地將竊取的資料傳送到攻擊者控制的域。

此次攻擊主要影響使用 Stripe 進行支付處理的線上商家。但是，由於各種規模的企業都廣泛採用 Stripe，因此潛在的風險很大。

該公司表示：“雖然初步報告沒有披露受到攻擊的商家數量，但 Jscrambler 的研究團隊進行了獨立調查，發現迄今為止已有 49 家商家受到此次活動的影響。”

“由於新的受害者不斷被發現，這個數字可能被低估了。”

Jscrambler 補充說，如果沒有適當的安全措施，任何依賴第三方指令碼的電子商務網站都可能存在漏洞。

研究人員發現了幾個可以幫助企業檢測到這種攻擊的危險訊號：

• JavaScript 檔案中的意外修改
• 對未知域的異常網路請求
• Stripe 重定向資料的 API 呼叫發生變化

為了降低網路盜取風險，商家和支付服務提供商還應實施實時網頁監控以檢測未經授權的指令碼，並使用安全的 iFrame 解決方案防止劫持並確保符合 PCI DSS 4.0.1 要求。

Jscrambler 表示：“鑑於小商家通常缺乏專業知識或資源來全面實施 PCI DSS 4.0 的嚴格要求，自動化解決方案提供了必要的保護。”