近日,欧洲航天局官方商店在圣诞节购物季遭黑客攻击,黑客在网页中植入恶意代码,在用户结账时窃取信用卡信息。
欧洲航天局(ESA)的预算超过100亿欧元,致力于培训宇航员、建造火箭和卫星,探索宇宙奥秘。然而,这个顶尖航天机构的官方商店的安全防护却非常业余,截至发稿,欧洲航天局官方商店页面仍未恢复:
ESA官方商店首页显示“站点暂时偏离轨道,进行令人兴奋的整修”
事件概述:恶意脚本伪造支付页面
数天前,安全公司Sansec发现欧洲航天局官方在线商店被注入了一段恶意JavaScript代码(下图),该代码会在结账页面生成一个伪造的Stripe支付页面,窃取客户输入的支付卡信息。
恶意代码利用ESA官方商店的合法外观进行伪装,使得用户难以察觉异常。攻击者通过在代码中加载Stripe SDK的混淆HTML版本,呈现了一个视觉上毫无破绽的假支付页面,并将数据发送至攻击者控制的外部域名。
Sansec进一步调查发现,黑客的伪装手段高明,通过注册与ESA商店相似的域名“esaspaceshop[.]pics”实施数据窃取,而ESA官方商店的合法域名为“esaspaceshop.com”。这种“顶级域名(TLD)”的差异使攻击者能够利用用户对官方域名的信任感。
域名伪装是常见的攻击手段,攻击者会选择外观和名称与合法网站极为相似的域名,以增加攻击的可信度,并利用与官方商店的整合为恶意代码提供伪装,用户很难察觉。
受影响范围:客户和员工风险并存
Sansec表示,这一攻击不仅影响购买ESA商品的消费者,也可能对ESA内部系统构成威胁。由于该商店似乎与ESA的某些系统有集成关系(需使用ESA员工邮箱登陆),黑客可能通过恶意代码间接获取敏感数据,甚至威胁ESA员工的数字安全。
一家专注于网络应用安全的公司Source Defense Research也确认了Sansec的调查结果,并捕获了假Stripe支付页面的加载过程。这一页面伪装得极为巧妙,几乎无法通过肉眼识别异常。
ESA回应:商店不属于官方管理
在网络安全媒体BleepingComputer的询问下,ESA回应称,这家商店并非托管在ESA的官方基础设施上,ESA也不直接管理其数据。通过简单的WHOIS查询可确认,这家商店的域名注册信息与ESA的官方域名(esa.int)分离,且注册人的联系方式被隐私保护掩盖。
尽管ESA声明商店不属于其直接管理,但事件暴露出其品牌授权合作方在网络安全上的薄弱环节。这种外包管理模式可能成为攻击者的突破口。
截至目前,ESA在线商店虽然已经移除假Stripe支付页面,但其网站源码中仍存在恶意脚本。这意味着,尽管支付流程的直接风险有所降低,潜在的安全隐患依然存在。
品牌授权的网络安全挑战
ESA在线商店的攻击事件是一个典型案例,反映出品牌授权模式在网络安全管理中的潜在风险。特别是当授权的外部平台未能执行严格的安全审查时,品牌自身的声誉和用户的安全都会受到威胁。以下几点值得注意:
- 外包平台的安全责任。ESA将商店授权给第三方运营,虽然减轻了运营负担,但也失去了对数据安全的直接控制。未来,机构需要与外包方签订更严格的安全协议,并定期进行安全审查。
- 域名管理的重要性。黑客利用相似域名实施攻击,这提醒机构在注册域名时应覆盖常见TLD变体,以减少此类伪装的可能性。
- 实时安全监控。恶意代码注入事件表明,即使是知名品牌的在线服务,也需要部署实时威胁检测系统,迅速发现和处理异常。