安全业者RiskIQ本周指出，Magecart黑客集团最近锁定了配置错误的Amazon S3储存贮体来散布Skimmer代码，估计已有超过1.7万个网域遭到危害，当中还包含Alexa流量排行榜上前2,000名的网站。

Magecart为黑客集团所使用的恶意软件，专门在电子商务网站上注入Skimmer恶意代码以窃取使用者的付款资讯，其手法又被称为网页侧录（Web Skimming）。

过去采用Magecart的黑客集团多半是先入侵电子商务网站的代码供应商，在供应商所提供的代码中注入Skimmer，一次捕获使用相关服务的数千家电子商务网站，现在RiskIQ揭露的则是Magecart黑客集团的新招术：扫描配置错误的AmazonS3储存贮体以植入Skimmer。

其实Amazon S3储存贮体的预设值是私有且受保护的，但若网管人员配置失误即可能允许任何拥有AWS帐号的用户存取或写入属性。RiskIQ自今年4月初，便陆续发现受到Skimmer感染的Amazon S3储存贮体。

当黑客发现配置错误的储存贮体时，就会扫描储存贮体中的任何JavaScript档案，继之下载这些档案，添加Skimmer，再把它存回储存贮体，且上述程序都是自动化的。

其实Skimmer必须要刚好出现在付款页面上，才能帮助黑客取得使用者的付款资讯，扫描并置换储存贮体上的所有JavaScript档案并无法确保此事，但只要有少数的例子达阵便值回票价。

RiskIQ建议网管人员若要变更Amazon S3储存贮体的存取预设值，应该更为妥善地设定访问控制，例如使用白名单、限制写入权限，且禁止任何人对外公开储存贮体。

资料来源：iThome Security