您需要立即保护您的网站免遭劫持

很有可能，如果您完全听说过表单劫持，那么您可能只对它有个模糊的认识。也许您听说过它是ATM分离器的互联网版本，或者您曾经听说过这是网络犯罪分子真正致富，迅速致富的一种方式。

对于从未听说过的人，最新的《Symantec Internet Security威胁报告》中刚刚强调了劫持。该报告将这种最新的网络犯罪列为网络犯罪历史上最严重，最有利可图的攻击之一。与勒索软件不同，它实施起来相对简单，受害者几乎无法检测到。赛门铁克表示，它是如此成功，以至于每个月大约有4,800个网站被Formjacking软件感染。

发生的情况是，不良行为者将一小段代码放在电子商务网站上，然后等待。在典型情况下，该代码会在受害者输入信息时读取信用卡信息，然后将该信息发送给坏人-就像直接安装在ATM上的信用卡撇取者和信用卡阅读器如何在您不知道的情况下窃取您的信息一样如何发现并避免它们)。同时，实际的电子商务交易似乎没有发生任何事情。受害人永远不知道信用卡信息已被盗-直到它显示在恶意网站上或直到收费开始出现在信用卡对帐单上为止。

赛门铁克安全响应产品管理总监凯文·哈利说：“从消费者的角度来看，没什么可看的。”“除非您可以浏览网站上的代码，否则这等效于ATM上的撇渣器。”

是的，您确实可以在网站上浏览代码。尝试以下操作：打开您喜欢的浏览器，然后使用Chrome或Firefox，在页面上单击鼠标右键，然后选择“查看页面源”。在Edge上，单击菜单点，选择“开发人员工具”，然后右键单击即可查看页面源。但是，除非您了解HTML以及JavaScript和其他编程语言，否则不会有太大帮助。如果这样做，则可能会找到说明，以从表格中读取信息并将其发送到远程位置。

但是机会是，即使您看起来也找不到。恶意软件开发人员擅长将恶意代码伪装为无害或例行程序。基本上，如果您访问一个被表格劫持的页面并填写表格，那么您就被搞砸了。您的数据将流向您认为不会的地方。

海利说：“这取决于网站所有者如何防范这种威胁。”他指出，包括英国航空公司在内的一些主要的电子商务网站都在其网站上使用了劫持软件，“但中小型企业更容易受到影响。”

海莉说，较小的企业成为目标的原因是因为它们不太可能像大型站点那样受到更复杂的保护。他说：“他们喜欢缓慢而缓慢的方法。”

如何保护您的网站

Haley解释说：“其中一些攻击是通过第三方应用程序进行的，例如聊天和调查，”与这类软件的供应商建立牢固的关系非常重要。

“您应该在使用更新之前先进行测试，”海莉建议。然后“扫描您的网站以查找意外代码”。

海莉说，出于各种原因，找到能够让您锁定网站并在发生任何更改时发出警报的工具很重要。他说，这包括遵循有关管理和保护网站的最佳安全最佳实践，尤其是您可能正在运行的任何电子商务页面。

如果您的电子商务页面触摸另一个网站来执行诸如信用卡处理之类的任务，则尤其如此。您需要确认您的网站上没有此类恶意代码，并且还需要确保您的网站代码可能与之通信的任何第三方网站也都清晰可见。

解决此问题的一种方法是使用子资源完整性(SRI)标签。这些标签使浏览器可以验证接收到的材料没有意外操作。它通过提供与资源非常匹配的哈希来工作。