近日,歐洲航天局官方商店在圣誕節(jié)購物季遭黑客攻擊,黑客在網(wǎng)頁中植入惡意代碼,在用戶結(jié)賬時(shí)竊取信用卡信息。
歐洲航天局(ESA)的預(yù)算超過100億歐元,致力于培訓(xùn)宇航員、建造火箭和衛(wèi)星,探索宇宙奧秘。然而,這個(gè)頂尖航天機(jī)構(gòu)的官方商店的安全防護(hù)卻非常業(yè)余,截至發(fā)稿,歐洲航天局官方商店頁面仍未恢復(fù):
事件概述:惡意腳本偽造支付頁面
數(shù)天前,安全公司Sansec發(fā)現(xiàn)歐洲航天局官方在線商店被注入了一段惡意JavaScript代碼(下圖),該代碼會(huì)在結(jié)賬頁面生成一個(gè)偽造的Stripe支付頁面,竊取客戶輸入的支付卡信息。
惡意代碼利用ESA官方商店的合法外觀進(jìn)行偽裝,使得用戶難以察覺異常。攻擊者通過在代碼中加載Stripe SDK的混淆HTML版本,呈現(xiàn)了一個(gè)視覺上毫無破綻的假支付頁面,并將數(shù)據(jù)發(fā)送至攻擊者控制的外部域名。
Sansec進(jìn)一步調(diào)查發(fā)現(xiàn),黑客的偽裝手段高明,通過注冊與ESA商店相似的域名“esaspaceshop[.]pics”實(shí)施數(shù)據(jù)竊取,而ESA官方商店的合法域名為“esaspaceshop.com”。這種“頂級域名(TLD)”的差異使攻擊者能夠利用用戶對官方域名的信任感。
域名偽裝是常見的攻擊手段,攻擊者會(huì)選擇外觀和名稱與合法網(wǎng)站極為相似的域名,以增加攻擊的可信度,并利用與官方商店的整合為惡意代碼提供偽裝,用戶很難察覺。
受影響范圍:客戶和員工風(fēng)險(xiǎn)并存
Sansec表示,這一攻擊不僅影響購買ESA商品的消費(fèi)者,也可能對ESA內(nèi)部系統(tǒng)構(gòu)成威脅。由于該商店似乎與ESA的某些系統(tǒng)有集成關(guān)系(需使用ESA員工郵箱登陸),黑客可能通過惡意代碼間接獲取敏感數(shù)據(jù),甚至威脅ESA員工的數(shù)字安全。
一家專注于網(wǎng)絡(luò)應(yīng)用安全的公司Source Defense Research也確認(rèn)了Sansec的調(diào)查結(jié)果,并捕獲了假Stripe支付頁面的加載過程。這一頁面?zhèn)窝b得極為巧妙,幾乎無法通過肉眼識(shí)別異常。
ESA回應(yīng):商店不屬于官方管理
在網(wǎng)絡(luò)安全媒體BleepingComputer的詢問下,ESA回應(yīng)稱,這家商店并非托管在ESA的官方基礎(chǔ)設(shè)施上,ESA也不直接管理其數(shù)據(jù)。通過簡單的WHOIS查詢可確認(rèn),這家商店的域名注冊信息與ESA的官方域名(esa.int)分離,且注冊人的聯(lián)系方式被隱私保護(hù)掩蓋。
盡管ESA聲明商店不屬于其直接管理,但事件暴露出其品牌授權(quán)合作方在網(wǎng)絡(luò)安全上的薄弱環(huán)節(jié)。這種外包管理模式可能成為攻擊者的突破口。
截至目前,ESA在線商店雖然已經(jīng)移除假Stripe支付頁面,但其網(wǎng)站源碼中仍存在惡意腳本。這意味著,盡管支付流程的直接風(fēng)險(xiǎn)有所降低,潛在的安全隱患依然存在。
品牌授權(quán)的網(wǎng)絡(luò)安全挑戰(zhàn)
ESA在線商店的攻擊事件是一個(gè)典型案例,反映出品牌授權(quán)模式在網(wǎng)絡(luò)安全管理中的潛在風(fēng)險(xiǎn)。特別是當(dāng)授權(quán)的外部平臺(tái)未能執(zhí)行嚴(yán)格的安全審查時(shí),品牌自身的聲譽(yù)和用戶的安全都會(huì)受到威脅。以下幾點(diǎn)值得注意:
外包平臺(tái)的安全責(zé)任。ESA將商店授權(quán)給第三方運(yùn)營,雖然減輕了運(yùn)營負(fù)擔(dān),但也失去了對數(shù)據(jù)安全的直接控制。未來,機(jī)構(gòu)需要與外包方簽訂更嚴(yán)格的安全協(xié)議,并定期進(jìn)行安全審查。
域名管理的重要性。黑客利用相似域名實(shí)施攻擊,這提醒機(jī)構(gòu)在注冊域名時(shí)應(yīng)覆蓋常見TLD變體,以減少此類偽裝的可能性。
實(shí)時(shí)安全監(jiān)控。惡意代碼注入事件表明,即使是知名品牌的在線服務(wù),也需要部署實(shí)時(shí)威脅檢測系統(tǒng),迅速發(fā)現(xiàn)和處理異常。
