電子支付時代的“側(cè)錄竊密”,電子支付和互聯(lián)網(wǎng)金融之間的關(guān)系-ESG跨境

電子支付時代的“側(cè)錄竊密”,電子支付和互聯(lián)網(wǎng)金融之間的關(guān)系

電子支付時代的“側(cè)錄竊密”

臨近年底，電商的一系列大促活動又要開始了。作為商家，你在為此做準(zhǔn)備的同時，有沒有考慮過如何更好的保護(hù)你的客戶，尤其是他們的機(jī)密信息包括銀行卡信息不被黑客竊取

進(jìn)化中的側(cè)錄和竊取

過去，我們經(jīng)?？梢詮男侣剤蟮乐锌吹竭@樣的悲劇:儲戶在ATM或POS機(jī)上操作時，不法分子會通過預(yù)裝的攝像頭、讀卡器、密碼鍵盤等設(shè)備竊取銀行卡信息，然后利用這些信息牟利。這是一種“側(cè)錄”。由于這些惡意設(shè)備不會影響ATM/POS機(jī)的正常使用，儲戶往往很難在第一時間察覺，不知不覺中就會損失慘重。

這兩年，使用自動取款機(jī)的人越來越少，使用網(wǎng)上支付服務(wù)的人越來越多。那么，這種針對自動取款機(jī)的側(cè)寫攻擊是否沒有市場不要很多時候，簡介記錄還在繼續(xù)，但也已經(jīng)全面轉(zhuǎn)移到線上，從原來的攻擊ATM/POS機(jī)，到攻擊電商網(wǎng)站的支付頁面

由第三方腳本導(dǎo)致的網(wǎng)頁配置文件

如今為了提供更豐富的功能(如營銷自動化、個性化服務(wù)、分析、社交媒體整合、登錄和支付等。)，很多網(wǎng)站的頁面上往往會嵌入大量的第三方腳本。由于這些腳本不是網(wǎng)站自己管理的，網(wǎng)站所有者很難在最短的時間內(nèi)發(fā)現(xiàn)惡意行為。

一旦網(wǎng)頁中嵌入的第三方腳本被攻擊者攻擊并注入惡意代碼，這些惡意代碼就會直接在網(wǎng)頁上運(yùn)行并執(zhí)行各種危險行為，比如記錄用戶的登錄賬戶憑證，甚至更嚴(yán)重的可能會記錄用戶在進(jìn)行支付時輸入的銀行卡信息...

目前，像這樣的攻擊在世界各地極為普遍。比如前段時間新聞里廣泛報道的Magecart攻擊，就是由網(wǎng)頁上的第三方腳本引起的。許多大公司，甚至一些世界上最大的網(wǎng)站，都是這種攻擊的受害者。

看直播，學(xué)習(xí)如何應(yīng)對

Akamai頁面完整性管理器(PIM)是一種通過檢測和緩解腳本漏洞來增強(qiáng)網(wǎng)頁完整性的解決方案。它可以通過先進(jìn)的行為檢測和漏洞檢測技術(shù)以及靈活的策略管理能力，幫助用戶防范隱藏在網(wǎng)頁中的惡意代碼，掌握腳本攻擊趨勢。

10月15日，Akamai高級售前顧問李通過保護(hù)用戶信息和防止Web數(shù)據(jù)泄露的直播，介紹了腳本攻擊的現(xiàn)狀和發(fā)展趨勢，以及Magecart等群體對JavaScript生態(tài)系統(tǒng)構(gòu)成的威脅。此外，他還詳細(xì)分享了Akamai提供的解決方案，包括PIM。

簡單來說，在腳本安全方面，我們需要注意以下幾個關(guān)鍵點(diǎn):

現(xiàn)代網(wǎng)絡(luò)應(yīng)用越來越依賴于動態(tài)的數(shù)字供應(yīng)鏈。

惡意代碼已經(jīng)開始滲入第一方和第三方代碼。

傳統(tǒng)的廠商管理、CSP、SRI、靜態(tài)掃描保護(hù)都跟不上規(guī)避技術(shù)。

從客戶端的執(zhí)行時間實(shí)時檢測JavaScript行為，可以有效地檢測和緩解攻擊。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。