---

title: "新型信用卡側錄攻擊：用 WebRTC 繞過所有傳統防護，前 3 大銀行和千億車廠都中招" date: 2026-03-29 source: https://www.ithome.com.tw/news/174703 category: articles tags:

• 資安
• WebRTC
• 電商
• 信用卡
• 漏洞 created: 2026-03-29 updated: 2026-03-29

---

新型信用卡側錄攻擊：用 WebRTC 繞過所有傳統防護，前 3 大銀行和千億車廠都中招

原文摘要

資安公司 Sansec 警告：出現首度濫用 WebRTC 的金融卡側錄（skimmer）攻擊。攻擊者利用 WebRTC DataChannel 外洩信用卡資料，繞過傳統以 HTTP 為基礎的所有資安防護。

攻擊手法

為什麼 WebRTC 能繞過防護？

1. WebRTC 在 CSP（Content Security Policy）規範之外

   • CSP 是目前最主要的前端安全機制
   • WebRTC 是配對連線機制，不在 CSP 標準化範圍內
   • 幾乎沒有網站部署 WebRTC 相關的 CSP 指令

2. WebRTC DataChannel 用 DTLS 加密的 UDP

   • 不是 HTTP 連線
   • 一般網路資安工具只檢查 HTTP 流量
   • UDP 流量完全不在監控範圍內

攻擊流程

1. 駭客透過 PolyShell 漏洞入侵電商網站（近六成 Adobe Commerce / Magento 已被上傳惡意 PHP）
2. 注入輕量化 JavaScript 載入器
3. 建立 WebRTC 連線，接收第二階段惡意程式
4. 透過重用 script nonce 或 unsafe-eval 繞過 CSP
5. 惡意程式刻意延遲執行（用 requestIdleCallback），降低被偵測機率
6. 攔截用戶在結帳頁面輸入的信用卡資訊
7. 透過 WebRTC → DTLS → UDP 傳送至遠端伺服器

受害規模

• 近兩個月內，5 家市值數十億美元的企業中招
• 其中一家是美國前 3 大銀行
• 最新受害者是市值超過 $1,000 億的汽車製造商（通報後未收到回覆）

根因：PolyShell 漏洞

• 影響 Adobe Commerce 和 Magento 電商平臺
• 近六成的平台已被上傳惡意 PHP 程式
• 這是駭客的初始入侵管道

核心觀點

1. 這是一個全新的攻擊面

WebRTC 原本是為視訊通話、P2P 通訊設計的。把它拿來做資料外洩通道，是非常聰明（也非常危險）的創新——因為整個資安產業的監控體系都是基於 HTTP 流量建立的。

2. CSP 不是萬能的

很多人以為部署了 CSP 就安全了。但 WebRTC 完全在 CSP 規範之外，這個盲區在被標準化之前，所有電商網站都有風險。

3. 影響範圍可能比報告的更大

如果前 3 大銀行和千億車廠都中招，中小型電商網站的情況可能更嚴重。用 Adobe Commerce / Magento 的電商應該立即檢查 PolyShell 漏洞。