PCI DSS V4.0鼓励更好地防御Magecart风格的攻击
支付卡行业的PCI DSS标准的主要修订包括旨在鼓励电子商务提供商构建基于JavaScript的卡撇击的措施的措施。
最近发布的第四次修订金支付卡行业数据安全标准(PCI DSS V4.0) - 为处理支付或信用卡数据的组织设置基线要求 - 已经在争取所谓的斗争中提高赌注Magecart.- 以及其他改进的攻击。
有关的Magecart集团12向弱势Magento电子商务网站解开隐身的PHP Skimmer
PCI安全标准委员会(PCI SSC)的SVP标准官员艾玛Sutcliffe告诉每日SWbeplay2018官网IG.:“PCI DSS V4.0包括两个旨在帮助防止和检测数字撇渣的新要求电子商务环境。第一个新要求涵盖了在消费者浏览器中加载和执行的付款页面脚本的管理。
“第二个新的电子商务要求涉及一种检测在付款页面上的恶意活动的变更或指标的机制。这些要求有助于缓解由网页的高度动态性质引入的风险,其中内容经常从多个Internet位置更新。“beplay体育能用吗
数字店面
beplay体育能用吗基于Web的信用卡撇纸恶意软件已成为电子商务商店的不断增长的威胁。
这种威胁不会很快展示随时随地的迹象,更糟糕的是,在研究威胁的最前沿,安全供应商正在揭示群体之间更大合作的可能证据。
Web安全顾问Scott Helme最近欢迎对PCI DSS V4.0更好地防御Magecart风格攻击的修订beplay体育能用吗技术博客文章。
Adam Hunt,CTO在Riskiq,告诉每日SWbeplay2018官网IG.:“随着安全研究人员在Magecart的世界里发光,随着PCI SSC标准继续发展,我们看到这款庞大的卡片上世界越来越多地交织在一起和连接。
“在不同的攻击,撇渣器和其他基础设施之间绘制这些相似之处,许多事情变得更加透明 - 例如哪个群体负责,他们如何瞄准受害者,以及他们的工具如何发展。这是公司应该望出去的这些意义者。“
最新的攻击有时涉及混合威胁的鸡尾酒。
捕猎解释:“在最近最近的Magecart妥协中,我们已经看到基础设施中的越来越重叠,用于托管似乎由使用各种技术和代码结构的无关组部署的不同撇渣器。我们还观察到过去看到的撇渣器的新变种。
“这种重叠基础设施可以包括多个浏览域使用的托管提供商加载多个无关的撇渣器 - 例如,撇渣器和不同版本的Grelos。我们甚至观察了从同一IP地址加载不同撇渣器的域。“
过滤器
PCI DSS V4.0.(PDF)是过去八年支付卡行业最重要标准的第一次重大修订。除了针对Magecart的措施外,PCI DSS V4.0有两个新要求来帮助地址网络钓鱼攻击。
PCI SSC的Sutcliffe解释说:这些包括使用过程和自动机制来检测和保护人员免受网络钓鱼攻击,并将网络钓鱼和社会工程纳入安全意识培训。
Sutcliffe得出结论:“PCI DSS V4.0的另一个目标是为使用新的和创新方法实现安全目标的组织提供更大的灵活性。在PCI DSS V4.0中内置的更新要求和灵活性得到了全部标准的其他指导,以帮助组织现在和将来安全地支付数据。“
