根據統計資料顯示,網路購物已成為現代人不可或缺的生活方式,66%受訪者曾經網路購物過,95%擁有行動裝置的受訪者中,每10位便有4位曾以手機網購,但是在這個龐大的流動市場背後,其實暗藏殺機。有資安公司的研究報告指出,每年都發現有超過數萬個網路釣魚網址是針對行動裝置而設計。
最近又有新的網購攻擊手法產生了,資安業者卡巴斯基揭露了一波網站側錄攻擊(Web Skimming)的攻擊事件,攻擊者已經進一步藉著合法的服務,傳輸截取到的交易資料,來規避網站的防護措施,駭客利用最為常見的流量分析工具Google Analytics,來收取他們側錄到的網站交易內容,這種方式可以規避掉許多資安設備之現有資安政策,因為Google網站服務相關IP通常都會在白名單內,這一波受害網站遍布歐洲與美洲,而且無論是銷售數位設備、化妝品、食品,以及汽車零件等公司的網站,都是駭客下手的對象。
駭客為何會挑選Google Analytics作為攻擊的跳板而捨棄以往的中繼站呢?其中很大的原因與Google Analytics廣泛受到全球網站採用有關。根據澳洲網站分析公司BuiltWith的統計,全球有超過2千9百萬個網站使用這項服務,來了解造訪網站的使用者喜好。因此,對於許多網站的經營者而言,他們會將google-analytics.com網域,列入網頁的內容安全政策(Content-Security-Policy,CSP)表頭,藉此讓使用者的瀏覽器在存取電商網站時,允許這項外部服務能夠執行,收集使用者上網的喜好。
如此看來,使用者是無法從用戶端的防護來避免這樣的網購攻擊造成的資料外洩,唯一能作的是慎選規模夠大且資安防護可靠的網購交易平台,不然就是盡量減少網購交易的次數,等到資安業者找到可靠的防護機制後再來使用。
詳文請見ithome 原文新聞稿