犯罪分子利用信用卡竊密事件在人們的日常生活中屢見不鮮，且頻頻見諸報端，甚至還有披著“提額神器”的竊密工具，這些都是信用卡犯罪分子常用的作案手段。

[[340636]]

近日，安全研究團(tuán)隊發(fā)現(xiàn)，黑客組織Magecart利用短信應(yīng)用程序Telegram來進(jìn)行信用卡竊密。其采用的策略即，黑客入侵網(wǎng)站，隨后在網(wǎng)站傳輸支付信息時，也會將該信息發(fā)送給黑客組織。

安全研究人員分析稱，“這種數(shù)據(jù)提取機(jī)制很有效，而且他們無需和相關(guān)基礎(chǔ)設(shè)備關(guān)聯(lián)，因為一旦被發(fā)現(xiàn)就會被移出或者屏蔽。”黑客利用這種竊密工具可以實時接收到目標(biāo)用戶的通知，能夠更快地在地下市場進(jìn)行信用卡交易。

大量的電商網(wǎng)站是因為通用漏洞或者憑據(jù)竊取而造成用戶數(shù)據(jù)泄露。有些購物者甚至沒有發(fā)現(xiàn)自己已經(jīng)被入侵了，安裝了竊密工具，只是進(jìn)行正常的交易行為，殊不知，卻是將信用卡數(shù)據(jù)賣給了犯罪分子。

利用Telegram信用卡竊密工具

根據(jù)網(wǎng)絡(luò)安全公司Sansec的信息，安全研究員@AffableKraut在推特上公布了第一個使用Telegram中使用的公開記錄利用信用卡竊密工具的案例。

Telegram是當(dāng)前流行的一種即時消息傳輸服務(wù)，可提供端到端加密。犯罪分子也會利用該軟件進(jìn)行日常通信。黑客還利用Telegram來竊取數(shù)據(jù)，比如通過傳統(tǒng)的Trojan木馬(比如Masad竊聽器)來竊取數(shù)據(jù)。

Magecart是一個針對網(wǎng)購群體的犯罪組織，常用的作案手法即竊取電商網(wǎng)站的憑證或者利用漏洞進(jìn)行入侵，秘密“窺視”支付頁面，并竊取用戶信息。這一攻擊手法也稱為formjacking攻擊，通常是JavaScript代碼，操作員通常會在支付頁面上偷偷插入到電子商務(wù)網(wǎng)站中，以實時捕獲客戶的卡詳細(xì)信息并將其傳輸?shù)竭h(yuǎn)程攻擊者控制的服務(wù)器。

在過去幾個月中，黑客組織將信用卡竊密工具代碼隱藏在圖像元數(shù)據(jù)中，并開展IDN同形異義詞攻擊，在網(wǎng)站收藏夾文件中植入網(wǎng)站竊密工具。

此次通過Telegram竊密方法的新穎之處在于，數(shù)據(jù)本身(如姓名、地址、行用卡號、有效期和CVV)直接過濾發(fā)送到私有的Telegram頻道，而這個頻道嵌入了竊密工具的惡意代碼。

該竊密工具使用簡單的Base64編碼對機(jī)器人ID和通道以及Telegram API請求進(jìn)行編碼，以免被窺視。

僅當(dāng)瀏覽器的當(dāng)前URL包含表示購物網(wǎng)站的關(guān)鍵字并且用戶驗證購買時，才會觸發(fā)滲透。此時，瀏覽器將把付款詳細(xì)信息發(fā)送給合法的付款處理器和網(wǎng)絡(luò)罪犯。

【責(zé)任編輯：趙寧寧 TEL：（010）68476606】