孟焯 Akamai大中華區(qū)高級(jí)售前技術(shù)顧問(wèn)

新冠肺炎疫情帶來(lái)的大量不確定性正讓人們?cè)桨l(fā)依賴(lài)數(shù)字化工具，并使遠(yuǎn)程辦公、學(xué)習(xí)、購(gòu)物、娛樂(lè)等生活方式變?yōu)槌�態(tài)，隨著人們對(duì)互聯(lián)網(wǎng)的依賴(lài)達(dá)到了前所未有的程度，網(wǎng)絡(luò)威脅發(fā)起者也在關(guān)注線(xiàn)上活動(dòng)的迅猛增長(zhǎng)，伺機(jī)而動(dòng)，竊取終端用戶(hù)個(gè)人信息并以此獲利。作為易操縱且適用范圍廣的攻擊方式，第三方腳本攻擊正在快速流行，對(duì)包括電子商務(wù)、媒體出版業(yè)網(wǎng)站在內(nèi)的眾多網(wǎng)站形成威脅。

和其他以服務(wù)器為目標(biāo)的攻擊方式不同，第三方腳本攻擊主要針對(duì)瀏覽器端發(fā)起攻擊。這種攻擊方式較為隱蔽，企業(yè)較難使用傳統(tǒng)手段進(jìn)行防御和打擊。而一旦攻擊者得手，造成的影響往往又是難以估量的。其中的代表Magecart攻擊就“攻陷”過(guò)許多備受矚目的網(wǎng)站，包括奧運(yùn)會(huì)售票網(wǎng)站、英國(guó)航空、Ticketmaster等。RiskIQ的一項(xiàng)研究顯示，疫情爆發(fā)的前幾個(gè)月，Magecart攻擊數(shù)量增長(zhǎng)了20％ 。鑒于第三方腳本攻擊形勢(shì)愈加嚴(yán)峻，加上在線(xiàn)服務(wù)使用的繼續(xù)增加為攻擊者提供更多可乘之機(jī)，企業(yè)須做好充分的防范準(zhǔn)備，應(yīng)對(duì)這一迫在眉睫的新型網(wǎng)絡(luò)攻擊威脅。

第三方腳本成為網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”

第三方腳本攻擊的興起源于第三方腳本的流行。為使用戶(hù)獲得更豐富、便捷的Web體驗(yàn)，越來(lái)越多的網(wǎng)站通過(guò)第三方腳本為用戶(hù)提供支付、預(yù)訂等服務(wù)。一方面，這些腳本都是通過(guò)第三方進(jìn)行功能維護(hù)和更新，對(duì)于第一方而言通常未知，因此為第一方網(wǎng)站的自身安全性埋下了隱患。另一方面，隨著用戶(hù)對(duì)網(wǎng)站功能多樣化的需求增加，第三方腳本的大小與請(qǐng)求數(shù)正在飛速增長(zhǎng)，這使得攻擊面進(jìn)一步擴(kuò)大。數(shù)據(jù)顯示，2011年至2018年間，網(wǎng)頁(yè)頁(yè)面中的第三方腳本大小增長(zhǎng)了706％，請(qǐng)求數(shù)增加了140％ 。以Akamai官網(wǎng)為例，如果使用可視化工具“Request Map” 來(lái)展現(xiàn)頁(yè)面上所有請(qǐng)求的來(lái)源，會(huì)發(fā)現(xiàn)網(wǎng)站中超過(guò)50％的腳本都是來(lái)自第三方的腳本。

具體而言，第三方腳本攻擊往往從第三方、第四方網(wǎng)站開(kāi)始。攻擊者通過(guò)將惡意代碼添加到第三方腳本更新中，從而“穿透”平臺(tái)的必要安全檢查（例如WAF），進(jìn)入供應(yīng)鏈交付，最終在第一方網(wǎng)站頁(yè)面上竊取個(gè)人識(shí)別信息（PII），再通過(guò)執(zhí)行惡意代碼，把這些數(shù)據(jù)發(fā)回給攻擊者。

當(dāng)前，第三方腳本攻擊中最“臭名昭著”的莫過(guò)于Magecart攻擊。該攻擊以Magecart這一黑客組織命名，專(zhuān)門(mén)使用惡意代碼通過(guò)污染第三方和第四方的腳本，從終端用戶(hù)提交的支付表單中竊取支付信息，以獲取經(jīng)濟(jì)利益。其具備以下幾個(gè)特點(diǎn)：

第一，影響范圍廣。該攻擊不僅針對(duì)大型支付網(wǎng)站，任何有支付業(yè)務(wù)、需要在頁(yè)面中提交表單的網(wǎng)站，無(wú)論大小，均有可能遭受此類(lèi)攻擊。第二，攻擊后果嚴(yán)重。該攻擊“威力”巨大，單一攻擊事件就可以造成數(shù)以千計(jì)的網(wǎng)站感染、百萬(wàn)個(gè)信息被盜取。在針對(duì)英國(guó)航空的Magecart攻擊中，攻擊者僅用22行腳本代碼，就盜取了38萬(wàn)張信用卡的信息，相當(dāng)于給犯罪分子送去1700多萬(wàn)美元的凈收益 。第三，攻擊手段不斷升級(jí)。最近一次已知的Magecart攻擊發(fā)生在今年4月，Magecart黑客團(tuán)體采用名為“MakeFrame”的新型數(shù)據(jù)竊取器，將HTML iframes注入網(wǎng)頁(yè)中以獲取用戶(hù)付款數(shù)據(jù)，成功地破壞了至少19個(gè)不同的電子商務(wù)網(wǎng)站 。

事實(shí)上，像Magecart攻擊這樣的“表單劫持類(lèi)”第三方腳本攻擊還有很多種，例如黑客針對(duì)優(yōu)化電商轉(zhuǎn)換率的分析服務(wù)Picreel和開(kāi)源項(xiàng)目Alpaca Forms發(fā)起的攻擊都屬于這一范疇。2019年5月，攻擊者通過(guò)修改Picreel和Alpaca Forms的JavaScript文件，在超過(guò)4600個(gè)網(wǎng)站上嵌入惡意代碼，“劫持”用戶(hù)提交的表單 。這種情況愈演愈烈，根據(jù)2019年《互聯(lián)網(wǎng)安全威脅報(bào)告》，全球平均每個(gè)月有超過(guò)4800個(gè)不同的網(wǎng)站遭到類(lèi)似的表單劫持代碼入侵 。