金融平台成駭客溫床？Stripe API 遭濫用，信用卡盜刷新手法揭露

近年來，網路犯罪手法層出不窮，駭客不斷尋找新的途徑來竊取敏感資料。資安研究機構 Sansec 近期揭露了一種令人擔憂的新型攻擊模式：駭客正將廣受歡迎的線上支付處理平台 Stripe，巧妙地轉化為惡意軟體（malware）的宿主，並利用 Google Tag Manager（GTM）發動大規模的信用卡盜刷行動，鎖定電商網站的消費者。

Google Tag Manager 成偽裝利器，惡意程式潛藏其中

Sansec 的研究人員指出，這波攻擊的起點是駭客成功入侵了部分基於 Magento 或 Adobe Commerce 的電商網站。一旦網站被攻陷，駭客便會植入一個惡意設計的 Google Tag Manager 容器。

Google Tag Manager 是一個免費工具，讓網站管理者無需直接修改網站程式碼，就能輕鬆管理追蹤、分析或其他腳本。由於 GTM 普及率極高，從 Google 伺服器載入 googletagmanager.com 的程式碼，在一般情況下看起來完全正常，不會引起任何資安警報。

當消費者瀏覽受感染的網站時，其瀏覽器會載入這個惡意 GTM 容器。當他們進一步前往結帳頁面時，GTM 程式碼會向 Stripe 的應用程式介面（API）發出請求。然而，這並非正常的支付流程，而是駭客精心策劃的陷阱。

Stripe 客戶紀錄成惡意程式藏匿處，側錄信用卡資訊

攻擊的巧妙之處在於，GTM 實際上是從一個由駭客控制的 Stripe 客戶紀錄中，檢索出惡意的 JavaScript 片段。這些片段被網站下載後，會重新組合成一個完整的惡意腳本，並在瀏覽器中執行。如此一來，Stripe 這個原本用於金融交易的平台，竟被駭客變成了儲存惡意程式碼的「儲物櫃」。

一旦惡意腳本開始運行，它便會「監控」結帳頁面。當受害者輸入信用卡詳細資訊時，包括卡號、CVV 碼、姓名、地址及其他相關資料，這個腳本會將所有資訊完整複製下來。

資料外洩手法再進化：透過 Stripe API 悄然傳輸

更令人防不勝防的是，竊取到的資料並不會立即傳送給駭客。惡意軟體會先將所有竊得的資訊組合成一個字串，施加 XOR 混淆處理，並將結果暫時儲存在瀏覽器的本地儲存空間中。隨後，惡意軟體會建立一個「虛假的」Stripe 客戶資料，將竊取到的資料分成兩部分，並在駭客的 Stripe 帳戶中建立一個新的 Stripe 客戶物件，最終將這些被盜資訊上傳。

Sansec 解釋道：「無論是惡意酬載（payload）還是被竊取的信用卡資料，都是透過 api.stripe.com 進行傳輸。由於商店預設允許這個網域的流量，因此側錄程式得以規避內容安全政策（Content Security Policy, CSP）規則和網路過濾器，這些防護措施原本會標記流向未知側錄網域的流量。」

這意味著，由於 Stripe 本身是合法的支付服務供應商，其 API 網域 api.stripe.com 通常會被網站的資安防護系統視為安全且允許的流量來源。駭客正是利用了這種信任關係，讓惡意程式碼和竊取到的敏感資料，能夠在不被察覺的情況下，悄無聲息地進出受感染的網站，對消費者造成巨大的潛在威脅。

這起事件再次凸顯了電商平台在整合第三方服務時，必須更加警惕潛在的資安風險。即使是看似安全的工具和服務，也可能被惡意行為者利用，成為發動攻擊的跳板。