美国国土安全部门及 FBI 发布警告 提醒企业防范恶意脚本注入

E-skimming 是指黑客将恶意代码植入电子商务网站，并窃取信用卡数据或个人身份信息的行为。联邦调查局（FBI）近期对企业发布警告，提醒他们注意此类型的攻击。

“此警告专门针对在线进行信用卡付款的中小型企业和政府机构。黑客会通过将恶意代码注入网站来盗取信息。他们可能已经通过钓鱼攻击和攻击服务器厂商获得了员工访问权限。”——FBI.

E-skimming 最早于2016年出现并迅速发展。在过去的几年中，黑客在 Magecart 组织下进行了许多次攻击。

实现 e-skimming 的方式有多种，例如利用电子商务平台 Magento，OpenCart 中的漏洞等等。其他方法还包括通过供应链攻击破坏这些平台的插件，或者将信用卡读取脚本注入某个公司的网站，或者获取管理员权限并在电子商店中植入恶意代码。

Magecart  组织的黑客主要致力于利用软件盗窃者窃取支付卡数据。自2010年以来，安全公司至少盗取了十几个团体的活动 ，其中就包括  英国航空，  Newegg，  Ticketmaster，  MyPillow和Amerisleep以及  Feedify。

为防范黑客攻击，FBI 提供了如下建议：

1.使用最新的安全软件更新和修补所有系统。需要将防病毒和反恶意软件升级到最新版，并且开启防火墙。

2.更改所有系统上的默认登录凭据。

3.对员工进行网络安全教育，不要轻易点击邮件中的链接或附件。

4.隔离和分段网络系统，防止黑客连续攻击。

消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接