多個香港線上商店存漏洞　可被利用進行信用卡詐騙

HKCERT 留意到最近有保安研究員發表題為《5900 online stores found skimming》的文章（按此閱讀）。此文討論網絡罪犯如何在有漏洞的網站截取交易數據，並公開大約 5,900 間有這些漏洞的線上商店名單（按此閱讀）。以 .hk 為域名或寄存於香港的線上商店亦在名單上。

研究指出，網絡罪犯可入侵網站內未修補或過期的電子商務（eCommerce）應用程式，放置「截取」程式碼以取得交易數據。

公開有漏洞的商店名單可導致以下影響：

• 網絡罪犯可根據名單入侵有漏洞的網站，進行實際的信用卡詐騙活動。
• 香港的商店負責人及顧客可因此受財物損失。商店負責人亦因此商譽受損，甚至招來當局調查及追究責任。
• 網站購物是不分地域的商業活動，因此不論於什麼地區作線上交易，香港的顧客亦有可能因上述問題受財物損失。

以下是 HKCERT 就以上問題作出的建議：

作為商店負責人：

• HKCERT 會嘗試聯絡受影響的 .hk 域名或寄存於香港的商店。若你收到相關通知，請勿忽略。如有疑問請聯絡我們。
• 檢查你的商店是否在名單上，並採取相應措施修補任何漏洞。請參閱《Magento 電子商貿網站應用程式保安指引》修復及保護受影響網站。
• 就算你的商店不在名單上，建議你對網站進行定期檢查。相關工具可參考我們的列表（按此閱讀）。
• 若你的網站曾由服務商加入自訂功能，請聯絡服務商檢查這些自訂功能會否存有上述漏洞。

作為顧客（個人或機構）：

• 雖然以上問題不牽涉用戶端被入侵，但不論任何情況也應該實行基本保安措施（例如安裝保安軟件，為操作系統及軟件安裝保安更新等）。
• 確保線上商店網站提供安全的 HTTP 連線（即 HTTPS），並小心檢查商店身份與網站域名是否相符。
• 定期檢查你的信用卡交易記錄或月結單，查看有沒有不正常的信用卡使用狀況。