只有在抓取中它们的外观发生变化时才会再次

2018-09-25 10:24 来源:未知

  9月6日,英国航空公司(British Airways)宣布,其客户数据遭黑客入侵。在接受BBC采访时,该公司指出,大约38万名顾客可能受到了影响,被盗信息包括个人信息和支付信息,但不包括护照信息。

  9月6日,英国航空公司(British Airways)宣布,其客户数据遭黑客入侵。在接受BBC采访时,该公司指出,大约38万名顾客可能受到了影响,被盗信息包括个人信息和支付信息,但不包括护照信息。

  英国航空公司在其网站上发布了一篇文章,解释了事故的细节,尽可能多的回答了客户的问题。虽然技术细节很少,但包括了以下信息:

  3、付款从2018年8月21日英国夏令时22:58开始,到2018年9月5日英国夏令时21:45结束

  该报告还非常清楚的表明,信息是从英国航空公司网站和移动应用程序中窃取的,但是服务器或数据库都没有受到影响。由于这些报告只涉及直接从付款表中窃取的客户数据,所以他们立即怀疑Magecart组织是罪魁祸首。

  类似的攻击最近也发生在英国Ticketmaster公司。他们报告了一个漏洞后,RiskIQ研究人员发现了整个事件的线索。由于我们在互联网上搜索并获取每个页面的详细信息,我们的团队能够扩展时间轴,发现更多受影响的网站,而不仅仅是公开报道的网站。在这篇博客中,我们将调查9月6日英国航空公司公布的客户数据被泄露期间发生了什么。

  自2016年以来,RiskIQ报道了一个基于网络的刷卡器的使用方式,这种方式是由网络犯罪集团Magecart运营的。传统上,犯罪分子使用被称为“卡片撇取器”的设备,这个设备被藏在atm机、燃油泵和其他人们每天用信用卡支付的信用卡读卡器中的设备,它能够窃取信用卡数据,然后提供给犯罪分子,或者自己使用,或者卖给其他人。Magecart使用这种设备的数字模式。

  Magecart注入了22 行的JavaScript代码,当消费者在电子商务网站上直接或通过第三方供应商进入在线支付表单时,他们便能窃取消费者的敏感数据。最近,Magecart操作人员通过对第三方功能的漏洞,在Ticketmaster网站上放置了一个这样的数字略读器,导致Ticketmaster的客户数据被高度泄露。基于最近的证据,Magecart现在将目光投向了英国最大的航空公司British Airways。

  我们将Magecart与英国航空公司的攻击联系起来的第一步就是通过我们的Magecart检测命中。对于我们来说,看到Magecart的实例是很常见的,我们至少每小时都会收到关于网站被skimmeri -code攻击的警告。但是我们的研究团队手工搜索这些工作区之外的实例,并将它们添加到我们的全球黑名单中。在英国航空公司的事件中,我们在黑名单事件或嫌疑犯中没有受到攻击,因为Magecart在这个案件中定制了他们的撇取器。

  手动爬网数据挖掘的一个挑战是RiskIQ收集的数据规模。随着时间的推移积累, 我们每天抓取超过20亿页的数据。另一个原因是现代网站倾向于使用JavaScript构建的许多功能。只需加载主要的英国航空公司网站即可运行大约20个不同的脚本,并将预订子页面加载到30个。虽然30个脚本可能听起来不多,但其中许多是缩小的脚本,跨越数千行脚本。

  在这项研究中,我们决定集中我们的努力,识别在英国航空公司网站单个脚本,并检查他们的表现随着时间的推移有什么变化。我们将验证网站上的所有独特脚本,只有在抓取中它们的外观发生变化时才会再次查看它们。最后,我们记录了其中一个脚本的变化。打开抓取的数据,我们看到这个脚本是一个现代化的JavaScript库,版本是2.62,并且被修改过了。该脚本是从英国航空公司网站上的行李认领信息页中载入的:

  我们所提到的变化位于脚本的底部,这是我们经常看到的攻击者修改JavaScript文件以破坏功能的技术。底部的小脚本标签立即引起了我们的怀疑:

  我们在英国航空公司服务器发送的服务器标头中发现了更多的证据。服务器发送了一个“Last-Modified”标。