黑客现在能够从使用信用卡支付的星巴克顾客那里盗取信用卡，有近1600万使用星巴克App的用户成为暴露在阳光下的待宰羔羊。

黑星巴克账户获利

攻击非常简单，盗窃人只需得到用户的星巴克账户凭证就可以很轻松地进行钓鱼活动，将受害人的信用卡玩弄于股掌之间；也可以通过键盘记录器盗取身份凭证，或者尝试使用泄漏数据中凭证，实在不行也可以采用暴力破解密码的手段。因为消费者往往反复使用相同的凭证，黑客就暴力攻击成千上万网站上的潜在登录。星巴克的移动支付App非常受欢迎，使用窃取的凭证，攻击者可以解开至少几个星巴克账户。

受害者通常会收到一封伪装成来自星巴克的电子邮件，称他们的用户名和密码已经更改。

骗子一旦获得进入受害者账户的机会，他们便可将其礼品卡中的钱转另一个由黑客控制的礼品卡中，之后再将它们卖掉。另一个攻击者的套现模式则是用受害者账户购买礼品卡送给自己控制的账户。

此前，FreeBuf发过原创热文《走近科学：盗刷信用卡如此简单，没人管管？》，欢迎点击了解详情。

‍

星巴克App自动重载功能

据了解，攻击者通过星巴克客户端并利用自动重载的功能窃取客户资金的。黑客利用了自动重载功能，即当用户星巴克App内的余额减少时，会从绑定的信用卡中自动转账进去。此举方便了黑客不需要信用卡帐号便可盗取信用卡里的资金。

上周，黑客窃取了一位叫Maria Nistri的女士存在星巴克App里面的34.77美金，然后25美金被自动加载到她的星巴克账户里。攻击者继而将账户金额增加到75美金，然后在7分钟内盗取了所有的钱。

凭借星巴克自动重载功能的助攻，攻击者可以在短短几分钟内窃取信用卡中的数百美元。因为犯罪非常简单，并且可以快速上手，消费者保护控制交易也不是非常明显，建议所有的星巴克消费者立刻停止使用星巴克移动支付和礼品卡的自动加载。

星巴克回应

星巴克的移动支付是个大问题。去年，星巴克移动支付处理了两亿美金的交易，大约六分之一的星巴克交易在星巴克App进行。

来自星巴克内部消息称，这一欺诈活动于今年1月被发现，而星巴克公司也在努力保护其顾客及账户的安全，并期望用户如遇任何可以活动及时向公司报告：

“公司长期保持着对欺诈活动的检测，但是出于显而易见的原因，无法公开讨论具体的安全措施。如果客户认为自己的账户可能受到攻击，请立即与我们或者相关机构联系。”

同时星巴克还表示，“顾客无须对不是自己进行的消费或转账负责”。

这次针对星巴克用户的攻击充分验证了采用多因素身份验证过程的重要性，当网络犯罪通过暴力破解或窃取用户密码的手段变得越来越容易，而与之相连的支付账户无疑成为了攻击者最后的宝藏。在这里还要建议用户一定避免跨多个服务器使用相同的凭证，以防类似的多米诺效应。

美国一零售商曾为顾客信用卡遭盗刷买单：1000万美金

不幸的是，悲剧总是反复在上演：类似此次针对星巴克用户的网络攻击十分常见。

2013年美国折扣零售巨头塔吉特公司曝出大规模1.1亿顾客的数据失窃事件，约有4000万名顾客的信用卡或借记卡数据被盗，同时有7000万名顾客的个人信息被泄漏。为此风波，其CEO斯坦哈贝次年引咎辞职，塔吉特公司销售额和利润暴跌，公司名誉和顾客信任双双受损。今年初，与法院达成和解的塔吉特计划以1000万美元设立一个专用于赔偿数据失窃受害者的基金，受害者将有资格获得最高一万美元的经济补偿。

*参考来源：securityaffairs，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）