珠宝连锁店Claire受到电子商务Mageware攻击的打击

克莱尔（Claire）是一家流行的珠宝连锁店，在全球拥有近3500个地点，适合年轻女孩和青少年使用，并且是COVID-19造成网络犯罪的最新受害者。为了防止冠状病毒的传播，为了避开冠状病毒的蔓延，开始了临时庇护所和锁定程序，大型实体商店暂时关闭了门，并用仅限在线的电子商务模型代替了它们。网络罪犯先发制人地计划从零售巨头克莱尔（Claire）的电子商务商店进行的在线购买活动中受益。
3月21日，即克莱尔（Claire）停业的第二天，域名“ claires-assets.com”被匿名注册。此后，恶意行为者入侵Claire的在线基础设施花费了四个星期。
4月25日至30日，Claire的在线商店及其姊妹商店Icing被添加了代码。该代码更改了电子商务平台上的合法文件，从而可以泄露数据图像。 当客户将付款信息输入到Salesforce支持的购物车中时，恶意代码实质上是对该信息进行了拍照，然后将其发送到claires-assets.com服务器，然后删除了该图片。实时威胁检测方法和策略通常会排除映像文件泄漏，使它们容易受到这类攻击（称为Magecart攻击）的攻击。然后，Magecart攻击者将抓取的数据拿到Dark Web上出售。
重要的是要注意，Salesforce本身并没有受到损害，也没有导致违规，而是建立在Salesforce Commerce Cloud平台之上的基础架构。 请参阅相关：监视和准备与冠状病毒相关的新兴网络安全威胁 尽管漏洞的入口仍在调查中，但攻击者可能会强行闯入，通过鱼叉式网络钓鱼或通过内部网络漏洞来窃取Claire的Salesforce凭据。 Magecart的活动可以追溯到2016年，其中包括英国航空，Ticketmaster，Newegg和福布斯等知名受害者。
网络安全公司Sansec监视电子商务商店中的安全事件，并于6月13日将攻击事件通知了克莱尔（Claire）。该组织已删除了更改后的代码。克莱尔就此事件发表的声明在下周一发布，内容如下： “星期五，我们发现了与我们的电子商务平台有关的问题，并立即采取了行动进行调查和解决。
我们的调查发现，未经授权将代码插入了我们的电子商务平台，该代码旨在获取由Google输入的付款卡数据客户在结帐过程中。我们删除了该代码，并采取了其他措施来增强我们平台的安全性。我们正在努力确定所涉及的交易，以便我们可以通知这些个人。
商店不受此问题的影响。我们还通知了支付卡网络和执法部门，建议持卡人始终监视其对帐单上的未经授权的费用。
支付卡网络规则通常规定持卡人不承担责任对于及时报告的未经授权的费用。我们对此感到抱歉，对于由此给您带来的任何不便，我们深表歉意。” Magecart攻击非常棘手，因为它们只是使用第三方标签更改电子商务商店的代码，而IT审核无法检测到该代码。
因此，IT团队必须采用JavaScript的“零信任”方法。通过默认情况下阻止访问在Web表单中输入的敏感信息，组织可以允许通过一组受控且有限的脚本访问此信息。 参见相关：零信任的实用方法 随着大流行将在线交易转移到网上，Magecart和其他eTailer攻击正呈上升趋势。
应用交付提供商Instart的技术副总裁Peter Blum在接受TechRepublic的Scott Matteson采访时，提供了其他建议。 “针对Magecart攻击的最佳防御措施是阻止访问。在线公司需要一种解决方案，该解决方案可以拦截您的网站对浏览器进行的所有API调用，并阻止对您之前未授权的敏感数据的访问。
这样可以防止任何恶意脚本或任何非关键性的第三方脚本从获得对客户在您的网站上输入的信息的访问权。该系统还应具有监视组件，以在第三方尝试访问敏感信息时向公司发出警报。”