Juruweb Berhati-hati! Skimmers WordPress Mengeksploitasi Jadual Pangkalan Data untuk Mencuri Maklumat Pembayaran
Pakar keselamatan siber telah menemui kempen penyadapan kad kredit yang tersembunyi dan canggih yang menyasarkan tapak web WordPress. Dengan membenamkan JavaScript berniat jahat ke dalam jadual pangkalan data, skimmer ini memintas kaedah pengesanan tradisional untuk mencuri maklumat pembayaran yang sensitif. Ancaman yang membimbangkan ini menggariskan taktik berkembang yang digunakan oleh penjenayah siber untuk mengeksploitasi platform e-dagang.
Isi kandungan
Bagaimana Perisian Hasad Skimming Beroperasi
Juruweb harus sentiasa memerhatikan JavaScript yang berbahaya kerana eksploitasi skimmer ini mungkin salah satu yang tergelincir di bawah radar. Skimmer menyasarkan laman web e-dagang WordPress dengan menyuntik JavaScript berniat jahat ke dalam jadual wp_options di bawah pilihan "widget_block." Kaedah ini membolehkan perisian hasad bersembunyi di hadapan mata, mengelakkan pengesanan oleh kebanyakan alat keselamatan. Setelah dibenamkan, perisian hasad mengambil kesempatan daripada antara muka pentadbiran WordPress untuk menyuntik JavaScript berbahaya ke dalam widget blok HTML.
Pengaktifan pada Halaman Checkout
Skrip skimming hanya diaktifkan pada halaman pembayaran, di mana ia:
- Merampas Medan Pembayaran Sedia Ada – Mengubah suai medan yang sah untuk memintas data pembayaran.
- Menyuntik Borang Kad Kredit Palsu – Mencipta borang pembayaran secara dinamik yang meniru pemproses sebenar seperti Stripe.
Borang palsu ini menangkap butiran sensitif seperti nombor kad kredit, CVV dan maklumat pengebilan. Sebagai alternatif, skrip boleh memantau borang pembayaran yang sah, mencuri data yang dimasukkan dalam masa nyata.
Obfuscation dan Exfiltration
Data yang dicuri dikodkan dan disulitkan untuk menahan pengesanan:
- Pengekodan Base64 : Menukar data kepada format yang kelihatan tidak berbahaya.
- Penyulitan AES-CBC : Menambah lapisan keselamatan untuk mengelakkan analisis.
- Penghantaran Data : Menghantar maklumat yang dikodkan ke pelayan dikawal penyerang seperti
valhafather[.]xyzataufqbe23[.]xyz.
Kempen Penipuan yang Lebih Luas
Serangan ini mengikuti usaha skimming yang serupa, termasuk yang mana perisian hasad JavaScript digunakan untuk membuat borang pembayaran palsu secara dinamik atau mengekstrak data daripada medan pembayaran yang sah. Dalam contoh itu, data telah disulitkan menggunakan kaedah JSON dan XOR sebelum dihantar ke pelayan jauh.
Vektor Serangan Tambahan
Kecanggihan kempen ini melangkaui WordPress:
- E-mel Phishing PayPal : Aktor ancaman menghantar e-mel daripada alamat PayPal yang sah untuk menipu pengguna supaya log masuk dan memautkan akaun mereka ke senarai pengedaran yang dikawal oleh penyerang.
- Eksploitasi Dompet Mata Wang Kripto : Penjenayah siber mengeksploitasi ciri simulasi transaksi dompet Web3 untuk menyediakan apl terdesentralisasi (DApps) palsu dan mengalirkan dompet semasa fasa pelaksanaan.
Melindungi Laman Web Anda dan Pelanggan
Untuk melindungi tapak e-dagang WordPress daripada ancaman ini:
- Audit Jadual Pangkalan Data secara kerap : Fokus pada jadual wp_options dan entri yang tidak diketahui.
- Kemas kini dan Tampal WordPress : Pastikan semua pemalam dan tema dikemas kini untuk mengurangkan kelemahan.
- Laksanakan Tembok Api Aplikasi Web (WAF) : Sekat skrip berniat jahat sebelum ia mencapai pangkalan data anda.
- Pantau Aktiviti Panel Pentadbir Anomali : Beri perhatian kepada perubahan dalam widget dan blok HTML.
- Didik Pengguna : Beri amaran kepada pelanggan tentang borang pembayaran palsu dan risiko e-mel pancingan data.
Evolusi skimmer kad kredit yang menyasarkan tapak web WordPress menyerlahkan kepentingan amalan keselamatan siber yang teguh. Dengan membenamkan kod hasad terus ke dalam jadual pangkalan data, kempen ini lebih sukar untuk dikesan dan lebih berkesan untuk mencuri data sensitif. Pemilik laman web mesti sentiasa berwaspada dan proaktif dalam melindungi platform mereka untuk melindungi kedua-dua perniagaan mereka dan pelanggan mereka daripada ancaman yang semakin canggih ini.