WebRTC 側錄攻擊與傳統金融卡側錄有何不同？

WebRTC 側錄攻擊與傳統手法最大的不同在於，它利用 WebRTC DataChannel 進行通訊，繞過傳統針對 HTTP 流量的資安監控與內容安全政策（CSP）。傳統攻擊多透過 HTTP 請求傳輸資料，而 WebRTC 則使用 DTLS 加密的 UDP 通訊，使其更難被偵測，如同穿上「隱身衣」。

企業該如何防範這類新型 WebRTC 側錄攻擊？

企業首先應盡速修補 PolyShell 等相關已知漏洞，特別是使用 Adobe Commerce 與 Magento 等電商平台者。其次，必須重新審視並升級網路防護機制，確保具備解析非 HTTP 流量（如 WebRTC 的 UDP 通訊）的能力，而不僅僅是監控 HTTP 流量。建議諮詢專業資安顧問，建立更全面的多協議流量監控與防禦策略。

驚爆！WebRTC 側錄攻擊「直升機式」竊資，電商、銀行、車廠遭駭客繞過 CSP 防護

科技

28 3 月, 2026
0
68 words

關鍵數字：過去兩個月內，全球已有至少 5 家市值數十億美元的跨國巨頭，包含美國前三大銀行與市值逾千億美元的汽車製造商，已成為新型 WebRTC 側錄攻擊的受害者。駭客利用 WebRTC DataChannel 巧妙繞過傳統 CSP 與網路監控，對電商與金融服務用戶的金融卡資料構成無聲竊取威脅，資安防護面臨前所未有的挑戰。

📊 數據總覽：WebRTC 側錄攻擊的衝擊範圍

根據資安防護公司 Sansec 近日發布的警告，這波新型態的金融卡側錄（Web Skimming）攻擊，其影響範圍與手法都顯示出前所未有的複雜度與針對性。以下是目前掌握的關鍵數據與資訊：

受害企業數量與規模：在過去兩個月內，全球已有至少 5 家市值達數十億美元的跨國巨頭遭受此類攻擊。
高價值目標淪陷：受害者名單中，甚至涵蓋了美國前三大銀行之一，以及一家市值超過 1,000 億美元的汽車製造商，這意味著攻擊已不再是無差別撒網。
攻擊目標資料：駭客鎖定的是用戶在電商網站結帳頁面輸入的信用卡號、到期日與安全碼等敏感金融卡資料。
主要利用漏洞：此波精密攻擊極可能結合了近期肆虐的 PolyShell 漏洞，該漏洞已導致近 60% 的 Adobe Commerce 與 Magento 電商平台被植入惡意 PHP 程式碼。
防禦機制繞過：攻擊者成功繞過現有的網路監控工具與內容安全政策（CSP），顯示傳統防護已出現盲點。

WebRTC 側錄攻擊：新型態的「隱身衣」竊資手法

你可能會想，電商網站的結帳頁面不是都有嚴密保護嗎？說真的，當我們還在專注於強化 HTTP 流量的資安防護時，駭客的腳步卻已經跨入了另一個通訊協定。這次 WebRTC 側錄攻擊之所以如此難以察覺，關鍵在於它利用了 WebRTC DataChannel 這個「非傳統」的通訊機制來進行金融卡側錄，成功繞過了企業普遍部署的內容安全政策（CSP）與各種網路監控工具。

有趣的是，WebRTC 原本是為了視訊通話與 P2P 檔案傳輸而設計的，它採用的是經過 DTLS 加密處理的 UDP 通訊，而非傳統的 HTTP 連線。這就像是當資安防護機制還在臨檢一般公路（HTTP）時，惡意程式已經開著「直升機」（WebRTC）揚長而去。由於大多數企業的網路資安工具僅針對 HTTP 流量進行深度封包檢測，WebRTC 流量就如同穿上了一層完美的隱身衣，讓惡意活動在網路中無聲無息地進行。

此外，WebRTC 的運作方式目前仍遊走在主流 CSP 規範的邊緣，儘管 Chrome 瀏覽器已開始測試支援特定 CSP 指令來管控 WebRTC，但由於缺乏業界標準化，截至目前為止，幾乎沒有網站實際佈署相關防禦。這讓駭客得以輕易找到「法外之地」，繞過既有防線，直接將竊取到的資料打包，透過加密的 UDP 通訊直送駭客伺服器。

PolyShell 漏洞助長：從入侵到無聲竊資的隱蔽路徑

這波精密的攻擊並非無跡可尋，它展現了駭客極高的隱蔽技巧與策略。根據 Sansec 的分析，駭客入侵電商網站的破口，極有可能是近期大肆肆虐的 PolyShell 漏洞，該漏洞已經導致近 60% 的 Adobe Commerce 與 Magento 電商平台被上傳惡意的 PHP 程式碼。一旦取得立足點，駭客便會啟動一系列隱蔽的竊資流程：

輕量化載入：初始階段，駭客只會植入極為輕量的 JavaScript 載入器，並巧妙地透過重用現有的 script nonce 或利用 unsafe-eval 來突破基礎的 CSP 限制。
延遲執行（requestIdleCallback）：為了降低被行為偵測機制抓包的機率，惡意程式會刻意利用瀏覽器的延遲執行機制，在系統資源空閒時才偷偷啟動，讓偵測難度大增。
無聲竊資：一旦 WebRTC 連線建立，並接收到第二階段的惡意酬載後，程式便會潛伏在結帳頁面，攔截用戶輸入的信用卡號、到期日與安全碼，直接打包透過 UDP 通訊直送駭客伺服器，整個過程用戶毫無察覺。

趨勢預測：資安防護的下一步挑戰

這次 Sansec 揭露的新型 WebRTC 側錄攻擊，象徵著線上側錄（Web Skimming）攻擊手法的一次重大「技術升級」。這不僅是技術的演進，更是駭客思維的一次躍升，他們不再滿足於傳統 HTTP 協議上的攻防，而是將目光投向了更底層、更隱蔽的通訊機制。這波攻擊的精妙之處，在於它精準地打擊了現行資安防禦的盲點，特別是那些僅專注於 HTTP 流量檢測的防護體系。

面對千億美元級別的車廠與頂尖銀行相繼淪陷，我們可以預見，這類針對高價值目標的精密針對性攻擊將會越來越多。企業必須認知到，單純依賴 CSP 防堵未經授權的外部網域連線，或是監控異常的 HTTP 傳輸，已經不足以應對當前的威脅。未來的資安防護，將更需要具備多協議、全流量的深度檢測能力。

數據告訴我們什麼？

這波 WebRTC 側錄攻擊對企業的 IT 與資安團隊來說，無疑是一個嚴峻的警訊。數據清楚地告訴我們，駭客的攻擊手法正在快速演進，且針對性越來越強。因此，企業必須盡速採取行動，以應對這股新型態的資安威脅。

首先，對於使用 Adobe Commerce 與 Magento 等電商平台的業者而言，除了必須立即修補 PolyShell 相關漏洞外，更重要的是重新審視自身的網路防護機制。其次，企業需要評估其資安工具是否具備解析非 HTTP 流量的能力，特別是 WebRTC 這類基於 UDP 的加密通訊。建議諮詢專業資安顧問，強化對未知或非傳統通訊協議的監控與防禦策略，才能有效堵住這些隱蔽的竊資管道，保護用戶的寶貴資料。