本以為找到最低價(jià)Adidas 誰(shuí)知付款后信用卡被清空

前不久有人發(fā)我一個(gè)帖子，上面是 Adidas 運(yùn)動(dòng)鞋的特價(jià)消息和一個(gè)網(wǎng)站跳轉(zhuǎn)鏈接。

點(diǎn)擊鏈接，便進(jìn)入了 Adidas 運(yùn)動(dòng)鞋“官方”網(wǎng)站，再一看價(jià)格，原價(jià) 2000 美元的鞋子竟然只要 134美元。

我毫不猶豫地拍下了這雙特價(jià)名牌鞋，并暗喜撿了個(gè)大便宜......就在這時(shí)，手機(jī)一震一條短信躍然屏上：你的信用卡已透支，透支金額為 100 萬(wàn)元。

WTF ！買降價(jià)鞋會(huì)讓信用卡透支？所以~節(jié)操無(wú)價(jià)的說(shuō)法是真的嘍？

不，真相只有一個(gè)。

假冒偽劣秒變騙錢工具

隨著最新一波品牌熱潮的升溫，宅宅還找到了類似Off-White、Nike等多家品牌的帖子。

這些帖子無(wú)一例外，都是用降價(jià)銷售作為亮點(diǎn)，試圖將買家?guī)нM(jìn)跳轉(zhuǎn)鏈接。乍看之下，這些網(wǎng)站似乎并無(wú)異常，但操作時(shí)就會(huì)發(fā)現(xiàn)有的地方與真實(shí)的品牌官網(wǎng)并非一致。

假冒運(yùn)動(dòng)鞋專賣店

隨著假冒球鞋網(wǎng)站如雨后春筍般涌現(xiàn)，像這樣的“二手”網(wǎng)站并不少見(jiàn)，其在混淆視聽(tīng)的情況下，也為希望低價(jià)滿足“穿名牌”的人們提供了 B 方案。

只是，相比正規(guī)官網(wǎng)這類網(wǎng)站不會(huì)建立完善的安全機(jī)制，以至于現(xiàn)在它們成為了黑客眼中的謀利神器。

研究人員稱，在最新發(fā)現(xiàn)的安全問(wèn)題中，一些全球著名品牌的復(fù)刻版被黑客嘗試安裝了惡意的 Magecart 腳本，當(dāng)購(gòu)物者從假冒網(wǎng)站購(gòu)買運(yùn)動(dòng)鞋時(shí)，他們?cè)诟犊詈蟛还獠粫?huì)得到運(yùn)動(dòng)鞋，反而會(huì)在付款的時(shí)候竊取信用卡信息。

吸引買家進(jìn)假冒網(wǎng)站的論壇帖子

在黑客有意識(shí)的攻擊行為中，這一腳本至少被植入了上百個(gè)冒充名牌的欺詐網(wǎng)站。它可以竊取購(gòu)買者提交的信用卡信息并將其發(fā)送到遠(yuǎn)程服務(wù)器。

這些假冒網(wǎng)站通過(guò)各大名牌產(chǎn)品的交流社區(qū)、貼吧以及搜索引擎進(jìn)行傳播，其中的降價(jià)消息、新品圖片都會(huì)根據(jù)不同平臺(tái)的特性和優(yōu)勢(shì)進(jìn)行優(yōu)化，這為黑客提升了攻擊的成功率。

攻擊分析

根據(jù) Malwarebytes 的說(shuō)法，黑客正在將一個(gè)名為 translate.js 的惡意腳本注入這些運(yùn)動(dòng)鞋網(wǎng)站。在檢查了站點(diǎn)結(jié)帳頁(yè)面的源代碼之后，可以看到一個(gè)名為 /js/mage/translate.js 的 JavaScript 文件，如下所示。

注入了 translate.js 腳本

乍一看，此腳本似乎屬于 Magento 電子商務(wù)平臺(tái)，該平臺(tái)用于創(chuàng)建假冒運(yùn)動(dòng)鞋網(wǎng)站。但是，如果仔細(xì)觀察，可以發(fā)現(xiàn)混淆的 JavaScript 已添加到 Magento 腳本的底部。

植入的Magento腳本

通過(guò) JS 美化器運(yùn)行 JavaScript 后，我們可以看到該腳本正在收集購(gòu)物者提交的信用卡信息，然后將其發(fā)送到位于 http://103.139.11.34 的站點(diǎn)。然后，攻擊者即可收集這些被盜的信用卡信息。

在分析了所有被破壞的站點(diǎn)之后， Malwarebytes 威脅情報(bào)研究人員 Jér?meSegura 發(fā)現(xiàn)了所有站點(diǎn)具有的共同點(diǎn)：

它們都使用過(guò)時(shí)的 PHP 編程語(yǔ)言版本和 Magento 運(yùn)行類似的模板，并且位于少數(shù) IP 地址子網(wǎng)中。

受感染網(wǎng)站的部分列表

因此， Malwarebytes 認(rèn)為攻擊者進(jìn)行了大規(guī)模掃描，尋找容易受到攻擊的網(wǎng)站（可能是運(yùn)行 Magento 或過(guò)時(shí)的 PHP 版本的網(wǎng)站），并利用這些偽造的運(yùn)動(dòng)鞋網(wǎng)站謀利。

Jér?meSegura稱，我認(rèn)為這是一臺(tái)自動(dòng)掃描儀，它恰好能抓取這些 IP 范圍，而且因?yàn)樗姓军c(diǎn)之間幾乎都是彼此的副本（而且都已過(guò)時(shí)），所以工作量并不大。

如果你最近在一個(gè)陌生的網(wǎng)站（或者其他途徑的“官網(wǎng)”）上購(gòu)買了運(yùn)動(dòng)鞋，則可能需要查看 Malwarebytes 的博客以確認(rèn)受感染店鋪的完整列表。