Akamai：電子支付時代的“側錄竊密”，你該如何應對？

臨近年底，電商的一系列大促活動又要開始了。作為商家，當你為此鼓足干勁做準備的同時，有沒有考慮過該如何更好地保護你的顧客，尤其是保護他們包括銀行卡信息在內的各類機密信息不被黑客竊??？

側錄竊密在進化

過去，我們經(jīng)常可以從新聞報道中看到類似這樣的悲?。簝粼贏TM或POS機上進行操作時，不法分子會通過預先安裝的攝像頭、讀卡器、密碼鍵盤等設備盜取銀行卡信息，進而利用這些信息牟利。這就是一種“側錄”。由于這些惡意設備并不會影響ATM/POS機的正常使用，儲戶往往很難第一時間察覺，并在不知不覺中承受重大損失。

這兩年，用ATM機的人越來越少，使用在線支付服務的人越來越多，那么針對ATM機的這種側錄攻擊是否就沒有市場了？并不會！很多時候側錄還在進行，只不過也已經(jīng)全面轉到線上，從原本針對ATM/POS機進行的攻擊，轉為針對電商網(wǎng)站的付款頁面進行攻擊！

第三方腳本導致的網(wǎng)頁側錄

如今，很多網(wǎng)站為了提供更豐富的功能（例如營銷自動化、個性化服務、分析、社交媒體集成、登錄和支付等），往往會在頁面上嵌入大量第三方腳本。由于這些腳本并非網(wǎng)站自行管理的，倘若其中存在惡意行為，網(wǎng)站所有者很難在最短時間內察覺到。

一旦網(wǎng)頁上嵌入的某個第三方腳本被攻擊者攻擊并注入惡意代碼，這些惡意代碼就會在網(wǎng)頁上直接運行，并執(zhí)行各種危險的行為，例如記錄用戶的登錄賬戶憑據(jù)，甚至更嚴重一些，可能會記錄用戶付款時輸入的銀行卡信息……

目前，類似這樣的攻擊在全球范圍內已經(jīng)極為普遍，例如前段時間新聞廣泛報道的Magecart攻擊就是因為網(wǎng)頁上的第三方腳本導致的。很多大型公司，甚至不乏一些全球范圍內規(guī)模最大的網(wǎng)站都曾是這類攻擊的受害者。

回看直播，了解如何應對

Akamai Page Integrity Manager（PIM）是一種通過檢測和緩解腳本漏洞來增強網(wǎng)頁完整性的解決方案，可通過先進的行為檢測和漏洞檢測技術，配合靈活的策略管理能力幫助用戶防范網(wǎng)頁中隱藏的惡意代碼，并掌握腳本攻擊動向。

10月15日，Akamai高級售前顧問李岳霖通過《保護用戶信息，防范網(wǎng)頁數(shù)據(jù)泄露》在線直播，介紹了腳本攻擊的現(xiàn)狀和發(fā)展趨勢，以及Magecart等團體對JavaScript生態(tài)系統(tǒng)構成的威脅，此外還詳細分享了包括PIM在內Akamai提供的解決方案。

簡單來說，在腳本安全方面，我們最需要注意下列這些重點：

·現(xiàn)代網(wǎng)絡應用程序越來越依賴動態(tài)的數(shù)字供應鏈

·惡意代碼已開始滲透第一方和第三方代碼

·傳統(tǒng)的廠商管理、CSP、SRI和靜態(tài)掃描防護都已經(jīng)跟不上回避技術

·從客戶端的執(zhí)行時間實時檢測JavaScript行為，能有效察覺并緩解攻擊