Check Point 研究人員最近發(fā)現(xiàn)，犯罪分子采取一種新方式來欺騙通過時下風(fēng)靡的“全球速賣通”購物網(wǎng)站進(jìn)行節(jié)日購物的消費者。全球速賣通是阿里巴巴集團旗下最受歡迎的在線購物平臺之一，在全球范圍內(nèi)擁有超過一億名客戶，收入達(dá) 230 億美元。

　　發(fā)現(xiàn)此漏洞后，Check Point 研究人員立即通知全球速賣通，他們對網(wǎng)絡(luò)安全高度重視，在得到通知后兩天內(nèi)便迅速采取行動并解決了問題。這一做法可圈可點，為其它在線零售商樹立了榜樣。

　　這個被Check Point發(fā)現(xiàn)、然后通知全球速賣通馬上修復(fù)的漏洞是如此策動攻擊的：犯罪分子可利用這個漏洞，發(fā)送一個包含惡意 Javascript 代碼的全球速賣通網(wǎng)頁鏈接，來攻擊全球速賣通用戶。一旦打開該網(wǎng)頁，用戶的網(wǎng)絡(luò)瀏覽器就會執(zhí)行該代碼，從而利用網(wǎng)站上的開放式重定向漏洞，繞過全球速賣通針對跨站腳本攻擊所采取的保護措施。

　　從理論上來說，網(wǎng)絡(luò)犯罪分子可以通過電子郵件釣魚活動，借助全球速賣通的常規(guī)客戶操作流程來發(fā)動此攻擊，過程中幾乎不會有任何跡象讓用戶察覺正在發(fā)生異�；蛞馔馇闆r。因此，用戶可能根本無法察覺到任何“網(wǎng)絡(luò)釣魚”的蛛絲馬跡。

　　隨后，攻擊者會在全球速賣通下屬子域名下運行的主屏幕上顯示一個優(yōu)惠券彈出窗口，要求客戶提供信用卡詳細(xì)信息，以獲得更流暢、更高效的購物體驗。然而，此彈出窗口完全由攻擊者控制，其中輸入的所有信用卡信息均直接發(fā)送給攻擊者，而非購物網(wǎng)站。

　　近期報道顯示，自 2016 年以來，發(fā)生于在線零售商的網(wǎng)絡(luò)攻擊已翻了一番，消費者應(yīng)小心圣誕老人的胡須可能并不像看起來那樣潔白無瑕，并且在此節(jié)日期間，于任何網(wǎng)站進(jìn)行網(wǎng)購時都應(yīng)當(dāng)保持警惕。

　　欲了解關(guān)于此攻擊運行方式的詳細(xì)信息，請參見完整研究調(diào)查。

　　Check Point以色列捷邦安全軟件科技有限公司 （www.checkpoint.com <http://www.checkpoint.com>） 是全球首屈一指的網(wǎng)絡(luò)安全解決方案供應(yīng)商，其客戶包括多國政府和企業(yè)。Check Point的解決方案在抵御惡意軟件、勒索軟件和各種威脅方面的表現(xiàn)領(lǐng)先業(yè)界，為客戶提供安全保護。Check Point 的多層次安全架構(gòu)保護企業(yè)在云端、網(wǎng)絡(luò)和移動設(shè)備信息的安全，以及提供最全面和可視化的單一安全控制管理系統(tǒng)。Check Point現(xiàn)為超過100,000個不同規(guī)模的組織提供安全保護。