回顧：

英國航空公司披露了遭到黑客攻擊，大約380，000張客戶支付信用卡詳細數據被盜。英國航空公司在本周四的一份聲明中表示：“我們正在緊急調查從我們的網站和移動應用竊取的客戶數據事件。”雖然披露的細節較少，但根據英國航空公司的公告，泄露的數據會影響到2018年8月21日至9月5日期間通過航空公司網站ba.com或移動應用程序進行預定的客戶。被盜的數據包括客戶姓名，電子郵件地址，家庭住址和信用卡詳細信息，但不包括護照詳細信息。英國航空公司每天運送乘客145，000人，是英國最大的航空公司。此公司表示將聯系并賠償因此受到損失的客戶。聲明如下：

該航空公司表示，它已將有關違規情況通知警方，并“將在適當的時候披露最新進展。”隨后，作為緊急事件，航空公司調查了這起安全漏洞。該公司表示，這一漏洞已得到解決，該網站目前正在正常運行。

英國航空公司報告提到他們的其他服務，服務器或數據庫都沒有受到影響，這導致安全研究團隊得出結論，支付服務是數據泄露的唯一罪魁禍首，這是Magecart熟知的專業領域。眾所周知，這些騙子使用基于網絡的卡片撇取器作為竊取信用卡支付數據的手段，這是經典的卡片撇取器的在線版本。

區塊鏈安全咨詢公司 曲速未來 消息：在深入研究英國航空公司網站內網絡犯罪分子注入的代碼之后，研究人員發現僅有22行JavaScript代碼是英國航空公司受該黑客攻擊，導致38萬名客戶數據被盜的罪魁禍首。

圖2. Magecart添加的可疑腳本標簽

在英國航空公司服務器發送的服務器標頭中發現了更多的證據。服務器發送了一個“Last-Modified”標頭，表示上次修改靜態內容的時間。Modernizr腳本的潔凈版有一個2012年12月的時間戳：

圖3.受損腳本的潔凈版

可以看到，在經過修改的、惡意的Modernizr版本上，時間戳與英國航空公司所給出的時間戳的匹配程度非常接近，因為這意味著人們開始受到攻擊:

圖4.撇取開始的時間戳

英國航空公司移動應用程序也受到改變的Modernizr JavaScript庫的影響，因為它調用了網站使用的相同腳本資源，以允許客戶進行付款。

圖5.僅22行腳本就傷害了38萬人

從本質上講，這個腳本非常簡單，非常有效。下面是它的分類:

一旦頁面上的每個元素完成加載，它將將mouseup和touchend事件綁定到名為submitButton的按鈕上，使用以下回調代碼:

在網站上，mouseup和touchend是指某人在點擊按鈕后松開鼠標，或者某人在觸屏(移動)設備上按下按鈕后松開屏幕。這意味著，一旦用戶在英國航空公司(British Airways)網站上點擊提交付款的按鈕，支付表單中的信息就會連同姓名一起被提取出來，并發送到攻擊者的服務器。

研究人員表示，這次攻擊再次向我們展示了黑客的高水平的規劃和對細節的關注，這次攻擊簡單有效。研究人員還發現，所有被盜數據都被發送到位于羅馬尼亞的服務器上的baways.com域，其IP地址為89.47.162.248，由立陶宛VPS（虛擬專用服務器）提供商Time4VPS提供。

圖7.攻擊者利用的證書

此外，為了使baways.com域更可信，騙子使用了由COMODO CA發行的付費SSL證書，而不是購買免費的LetsEncrypt版本。

區塊鏈安全咨詢公司 曲速未來 表示：最近英國航空公司的數據泄露事件表明，Magecart是一個積極的威脅，其規模和廣度可以與家得寶(Home Depot)和塔吉特(Target)等零售巨頭最近達成的銷售點系統妥協相提并論，甚至可能超過后者。Magecart從2015年就開始活躍起來，并且從未從他們選擇的犯罪活動中撤退。相反，他們不斷改進他們的策略和目標，以最大限度的回報他們的努力。

隨著時間的推移，它們優化了自己的策略，最終成功的侵入了Inbenta等第三方供應商，導致Ticketmaster客戶數據被盜。現在可以看到他們瞄準特定的品牌，策劃他們的攻擊以匹配特定網站的功能，可以在英國航空公司(British Airways)被入侵時就看到了這一點。未來還會有更多的Magecart攻擊，所以我們都要在網絡安全行業了解這些研究。

本文內容由曲速未來安全咨詢公司整理編譯，轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智能合約開發安全等相關區塊鏈安全咨詢服務。