行业新闻与博客

scrambler 的网络安全研究人员发现了一种利用 Stripe API 窃取支付信息的新型盗刷攻击。

此次攻击会将恶意脚本注入电子商务结账页面，通过实时拦截和泄露客户付款详细信息来运作。

与经常插入恶意支付表单的传统盗刷器不同，此次活动利用合法的 Stripe API 窃取数据。

根据 Jscrambler 今天发布的新公告，攻击者将 JavaScript 直接注入结帐页面，从而能够在信用卡详细信息到达 Stripe 的安全处理系统之前获取这些信息。

该恶意软件有效地模仿了合法功能，使检测变得困难。它会等待客户输入付款详细信息，然后悄悄地将窃取的数据传送到攻击者控制的域。

此次攻击主要影响使用 Stripe 进行支付处理的在线商家。但是，由于各种规模的企业都广泛采用 Stripe，因此潜在的风险很大。

该公司表示：“虽然初步报告没有披露受到攻击的商家数量，但 Jscrambler 的研究团队进行了独立调查，发现迄今为止已有 49 家商家受到此次活动的影响。”

“由于新的受害者不断被发现，这个数字可能被低估了。”

Jscrambler 补充说，如果没有适当的安全措施，任何依赖第三方脚本的电子商务网站都可能存在漏洞。

研究人员发现了几个可以帮助企业检测到这种攻击的危险信号：

• JavaScript 文件中的意外修改
• 对未知域的异常网络请求
• Stripe 重定向数据的 API 调用发生变化

为了降低网络盗取风险，商家和支付服务提供商还应实施实时网页监控以检测未经授权的脚本，并使用安全的 iFrame 解决方案防止劫持并确保符合 PCI DSS 4.0.1 要求。

Jscrambler 表示：“鉴于小商家通常缺乏专业知识或资源来全面实施 PCI DSS 4.0 的严格要求，自动化解决方案提供了必要的保护。”