研究：骇客用Google App平台窃取网购者的交易资料

安全研究人员发现一批骇客组织以Google Apps Script平台为掩护，窃取电商网站使用者的信用卡资料或个资。

Google Apps Script为Google商业应用云端平台，常被小型网站业者用来控制Google试算表，制作简易数据库。研究人员Eric Brandel与安全鉴识厂商Sansec合作发现电商网站盗录（e-skimming）或称Magecart手法的最新攻击活动中，利用Apps Script作为恶意连结的掩护。

研究人员解释这波攻击主要分为二个步骤。首先，攻击者先在Google Apps Script平台上代管小型程式，之后在电商网站注入一小段经混淆（obfuscation）的程式码，这些程式码可拦截网购消费者支付表格资讯，将资料传到代管于Google Apps Script的应用程序上。最后，这些资讯再以由Google 服务器传送到骇客控制的网站。在研究人员发现的案例中，支付资讯传到一个位于以色列的网域，这个网域注册同一天，还另有二个恶意程式网域上线。

研究人员指出，最后一段连结以script[.]google[.]com为掩护，实则滥用Google网域具有良好网域信誉（reputation），而不会被扫描工具或内容安全政策（Content Security Policy，CSP）阻拦来回避过滤。

这不是第一次Google服务被骇客用于电商盗录攻击。去年资安公司卡巴斯基也揭露骇客利用Google Analytics掩护侧录用户信用卡资讯的攻击活动。

安全厂商表示，最新攻击显示电商网站光是切断和不信任网域的连结已经不够，网站管理员还得留心网站没有被注入任何未授权的程式码，方法像是强化服务器端恶意程式及网站漏洞的监控。