朝鲜黑客组织拉撒路再度出手 劫持部分电商网站窃取用户信用卡信息

拉撒路集团是目前全球最为臭名昭著的黑客集团之一，原因是拉撒路这些年频繁活动并且炮制多次网络攻击案例。

其中被用户熟悉的WannaCry勒索软件就是拉撒路所为，孟加拉国家银行和台湾远东银行失窃案也与拉撒路有关。

安全机构已经证实拉撒路是朝鲜官方控制的黑客集团，与普通黑客集团不同的是，拉撒路集团还有些特殊的任务。

通常由国家支持的黑客集团主要目的都是低调行事悄悄窃取情报数据，而拉撒路集团则被戏称是朝鲜的外汇天团。

因为拉撒路经常发动攻击都是以窃取钱财为目的的，比如盗窃银行、袭击韩国虚拟货币交易所都是以赚钱为目的。

据荷兰安全公司 SanSec 发布的分析报告，该公司在荷兰部分流行电商网站发现拉撒路集团悄悄植入的恶意脚本。

这种攻击方式通常被称为网页掠夺或 Magecart 攻击 , 主要目的是通过恶意脚本窃取用户填写的信用卡详细数据。

在国外信用卡使用率非常高，在网上支付时用户只需填写信用卡卡号、CVV2 安全码、姓名以及有效期即可支付。

支付环节是无需密码或者短信验证码之类进行验证的，所以已经有很多攻击者瞄准电商网站来窃取用户卡片信息。

而网页掠夺攻击实际上就是通过恶意脚本窃取用户卡片信息的，理论上说只要成功窃取这类信息即可进行盗刷等。

拉撒路和多数网页掠夺攻击者使用的方法类似，通过恶意脚本在网页上生成虚假信用卡信息填写框诱导用户填写。

用户在电商网站完成购买跳转到支付页面时就会出现这种信息框，支付出现这类信息框很正常所有用户不会怀疑。

但当用户输入信用卡信息后这类信息也会发送到控制者的服务器，接下来控制者可利用信息对用户卡片进行盗刷。

安全公司经过分析后发现黑客使用的脚本代码与拉撒路的具有同源性，经过追踪后确定是臭名昭著的拉撒路集团。

而被黑的电商网站则是非常知名的 Claire's 连锁店，就目前来说无法预估到底有多少用户的信用卡信息遭到窃取。

在支付页面生成虚假的支付信息框纯粹依靠前端完成有点难度，通常这类攻击都是在网站服务器上进行直接篡改。

安全公司猜测拉撒路集团可能用钓鱼攻击等方式窃取 Claire's 员工凭证，通过员工凭证登录服务器安装恶意脚本。

不过这只是猜测无法进行证实， 但安全公司证实黑客在 4月和6月 两度黑进服务器，所以受影响用户可能非常多。

SanSec 联系该公司后其运维人员已经将恶意脚本撤下 ，不过被盗的信用卡用户接下来可能要联系银行封卡换卡。

一家意大利模特公司也遭到攻击

信用卡卡号、安全码、有效期和姓名是信用卡的关键因素，这些关键因素不应该在任何地方泄露否则会引起盗刷。

如果用户不慎在某些地方泄露以上关键信息尤其是有效期和安全码，应该立即致电银行冻结卡片并申请更换卡片。

如遇盗刷即非本人发起的交易也应该立即致电银行进行冻结并尝试撤销交易，以上都应该在发现时立即进行冻结。

另外在这里也提醒大家国内发行的双币种信用卡通常会有安全锁，可以尝试将境外刷卡和无卡消费锁定禁止交易。

而在国内外网站进行支付时如需要填写信用卡卡号和安全码这类的 , 建议通过第三方支付例如支付宝或者PayPal。