知名飾品Claire's官網遭植入信用卡側錄程式

專精於預防信用卡側錄的荷蘭資安業者Sansec本周指出，他們發現駭客趁著武漢肺炎（COVID-19）疫情期間，知名飾品品牌Claire's所有實體商店都休息的情況下，鎖定了Claire's的官網發動Magecart攻擊，在官網上植入了信用卡側錄程式，以竊取Claire's客戶的信用卡資訊。

在電子商務網站的結帳頁面上植入側錄程式，以竊取信用卡資訊的攻擊行為，被統稱為Magecart。根據美國資安業者RiskIQ的觀察，Magecart手法最早出現在2010年的8月，有時是藉由第三方服務進駐電子商務網站，有時則直接於電子商務網站植入側錄程式，可怕的是，大多數的電子商務網站所有人都無法查看其程式碼，使得這些側錄程式可能存在數周、數月，甚至更久的時間。

RiskIQ發現，全球有超過1.8萬臺主機遭到Magecart入侵，也在網路上找到了573個與Magecart攻擊有關的命令暨控制網域，意味著這是個非常普遍的現象。

而Claire's的事件則印證了RiskIQ的觀察。Sansec說，Claire's是在今年的3月20日關閉了全球超過3,000家的實體門市，隔天就有人註冊了claires-assets.com，不過，此一網域蟄伏了4周都毫無動靜，一直到4月的最後一周，研究人員發現Claire's及其姐妹品牌Icing的官網，都被植入了側錄程式，並將所蒐集的信用卡資訊傳送到claires-assets.com。

駭客是將側錄程式直接嵌入網站上合法的app.mis.js檔案中，代表駭客已經取得了網站的寫入權限，而其側錄程式則是附加在結帳格式的「提交」（submit）按鍵上，代表消費者一提交自己所輸入的信用卡資訊，就會被紀錄，且是以圖片檔紀錄。研究人員猜測，這可能是因為圖片檔較容易繞過安全系統。此外，該側錄程式一直到6月13日才被移除。

Claire's坦承了這項意外，並說有未經授權的使用者於該平臺上植入程式碼，用以取得消費者在結帳時所輸入的支付卡資訊，除了已移除惡意程式之外，也正在進行鑑識並通知受影響的使用者。此一事件只波及電子商務網站，並未影響實體店面。

Claire's並未公布駭客入侵的管道，Sansec則推測，駭客可能是取得了外洩的管理員憑證，或針對該站員工展開魚叉式網釣攻擊，也可能只是單純入侵了該站的內部網路。