美國八個城市的網站被惡意軟件毒化，掠奪其居民的信用卡詳細信息

請注意，如果您要為當地政府服務付費，請注意—你輸入的支付信息可能會直接被網絡罪犯獲取。

趨勢科技的安全專家報告說，他們已經確定了美國的8個城市，這些城市的在線支付門戶已經被盜用，以提供magecart風格的信用卡刷卡代碼。

Magecart是Javascript惡意軟件家族，用于在與網站交互時從毫無戒心的互聯網用戶那里竊取信用卡詳細信息和個人信息-通常是在輸入敏感信息進行購買時。

這種攻擊通常比傳統的數據泄露更為嚴重的原因是，大多數公司不會存儲您的完整信用卡詳細信息，例如您的CVV安全代碼。但消費者會將這些細節輸入到在線付款表單中，并可能被隱藏在網站代碼中的惡意腳本竊取。

正如趨勢科技所解釋的，它們發現的受影響網站之間的共同因素是它們都使用第三方Click2Gov平臺：

這些站點似乎都是使用Click2Gov構建的，Click2Gov是一個基于Web的平臺，旨在供地方政府使用。它用于提供服務，例如社區參與，問題報告和本地政府的在線支付。居民可以使用該平臺來支付城市服務（例如公用事業）的費用。

研究人員稱，對美國八個不知名城市的攻擊始于4月，當時在網站上植入了惡意Javascript代碼，當他們將其輸入在線支付表格時，悄悄地收集了信用卡詳細信息和居民的個人信息。

信用卡掠奪攻擊鏈。來源：趨勢科技。

與其他抓取各種類型支付表單數據的skimmers不同，此處使用的skimmers非常簡單，僅適用于Click2Gov付款形式。沒有使用混淆或反調試技術。扣付款表格的提交事件;當受害者點擊發送支付信息的按鈕時，skimmer會從支付表單中選擇的列中獲取信息，并立即通過HTTP POST請求將收集到的信息發送到遠程服務器。

在黑客的控制下，由腳本泄露到遠程服務器的詳細信息，包括信用卡號碼，CVV安全代碼，信用卡過期日期，持卡人的姓名，地址，和郵政編碼。

略讀代碼可能很簡單，但這并不意味著它沒有效果。

Click2Gov都贏得了良好的聲譽。近年來，安全研究人員一直在跟蹤針對Click2Gov支付門戶網站發起的攻擊，有關破壞事件的報告涉及美國和加拿大的城市網站。

例如，去年年底，大學城承認其在線公用事業支付系統Click2Gov被黑客攻擊了好幾個月，韋科市支付水費的門戶網站Click2Gov也是如此。

建立和維護其在線支付系統時，城市有責任遵循最佳做法，以確保及時應用補丁和安全更新，并確保網絡得到適當保護。

與此同時，其他有在線支付形式的網站應該記住，信用卡竊取攻擊并不僅限于地方政府從居民那里收取費用。

magecart式的攻擊已經出現在各種各樣的受害者中，包括連鎖酒店預訂網站，學術園區以及Ticketmaster，British Airways，福布斯，Umbro，Vision Direct和Newegg等。

如果你在網上購物(嘿，現在誰不是呢?)你可能需要調查一下一次性虛擬支付卡，這樣你就不會把你的真實生活中的信用卡暴露在你支付的網站上。虛擬卡可以鎖定在一個商家，有一個有限的金額可以用于一次支付，或者是一次性使用。