黑客使用Comodo的SSL证书以英国航空公司为目标窃取数据

最近英国航空公司的数据泄露事件 影响了380,000人,这似乎是一个已知对手的工作,它使用旨在收集支付卡数据的脚本感染网站。

该组的名称是MageCart,它使用的脚本与ATM上的网络犯罪分子使用的物理卡片浏览设备具有相同的效果。在典型的攻击中,该组织通过破坏常用的第三方功能来扩大网络,允许访问数百个网站。

英国航空公司成为目标

数字威胁管理公司RiskIQ跟踪MageCart集团的活动,并报告了自2016年以来他们对基于网络的卡片撇取器的使用情况。他们熟悉威胁行为者及其撇浮码并几乎每小时检测一次。

不过,对于英国航空公司来说,MageCart采取了有针对性的方法并对脚本进行了定制,因此没有敲响任何警钟。

“这个特殊的撇取器非常适合英国航空公司的支付页面设置,它告诉我们攻击者仔细考虑如何瞄准这个网站,而不是盲目地注入常规的 Magecart 撇取器,”RiskIQ在 与BleepingComputer分享的一份报告中说道。提前。

在这次调查中,研究人员确定了航空承运人网站上载的所有脚本,并搜索了最近的变化。

研究人员注意到,Modernizr JavaScript库已在底部修改了22行新代码,这是黑客经常使用的一种策略,以确保它们不会破坏脚本的功能。

英国航空公司网站从行李认领信息页面加载了lib,MageCart所做的更改允许Modernizr将付款信息从客户发送到黑客的服务器。

无论网站是在计算机屏幕上还是从移动应用程序启动,受损代码的反应都是相同的,因为在这两种情况下,用于搜索,预订或管理航班的资源都是相同的。

英国航空公司服务器发送的标题证实了JavaScript库的变化,该标题表示格林威治标准时间8月21日20:49作为Modernizr最后一次修改的时间和日期。

在关于数据泄露的声明中,该航空公司表示,盗窃事件发生在8月21日22:58 BST之间,MageCart在Modernizr改变后一小时。

黑客使用Comodo的SSL证书

更多证据表明,MageCart为这次攻击做好了准备并且旨在尽可能长时间保持活动,这一点可以在用于公开支付卡详细信息的基础设施中找到。

受到妥协的Modernizr脚本将所有数据传递到baways.com,类似于英国航空公司使用的合法域名,并且在粗略查看修改后的库时可能不会引起怀疑。

RiskIQ还发现MageCart从Comodo购买了SSL证书,而不是从Let's Encrypt中自由选择。这样做的原因是付费证书不太可能引起注意。

通过这次攻击,MageCart已经走上阶梯,并表明他们有能力改进其运营,融入目标网站以维持他们的存在。目前还不清楚MageCart如何设法破坏英国航空公司的网站,但RiskIQ表示能够“修改网站的资源告诉我们访问权限很大。”

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/british-airways-fell-victim-to-card-scraping-attack/

扫码关注云+社区

领取腾讯云代金券