Swipery kreditních karet jsou vkládány do náhodných zásuvných modulů webových stránek elektronického obchodu WordPress, které se skrývají před detekcí a zároveň kradou platební údaje zákazníků.
S vánoční nákupní sezónou se hackeři snaží infikovat online obchody tajnými skimmery. Správci webu by tak měli zůstat ostražití. Nejnovějším trendem je vkládání skimmerů karet do souborů pluginů WordPress a vyhýbání se pečlivě sledovaným základním adresářům jako jsou 'wp-admin' a 'wp-includes'.
Pod svícnem je největší tma
Podle nové zprávy od Sucuri se hackeři provádějící krádeže kreditních karet nejprve nabourají na stránky WordPress a vloží na web backdoor, aby přečkali případné bezpečnostní aktualizace nebo nově nainstalované pluginy. Když útočníci v budoucnu použijí zadní vrátka, prohledají seznam administrátorů a použijí jejich autorizační cookie a aktuální přihlašovací údaje pro přístup na web. Hackeři pak přidávají svůj kód do náhodných pluginů. Při zkoumání kódu si však analytici všimli, že plugin pro optimalizaci obrázků obsahuje odkazy na WooCommerce a obsahuje nedefinované proměnné. Tento plugin však nemá žádné chyby zabezpečení a zatím se má se za to, že byl vybrán zcela náhodně. Pomocí PHP 'get_defined_vars()' byl Sucuri schopen zjistit, že jedna z těchto nedefinovaných proměnných odkazuje na doménu hostovanou na serveru Alibaba v Německu. Tato doména neměla žádný odkaz na napadenou webovou stránku. Hackeři také využívali proměnné '$thelist' a '$message', které byly použity k podpoře malwaru skimmingu kreditních karet, přičemž první odkazoval na přijímací adresu URL a druhý pomocí 'file_get_contents()' k získání podrobností o platbě.
Jak se chránit před skimmery karet
Správci mohou dodržovat několik ochranných opatření, aby udrželi své stránky bez skimmerů.
Za prvé, oblast wp-admin by měla být omezena pouze na konkrétní IP adresy. Pak, i když je vložen backdoor, hackeři by nemohli získat přístup k webu, i když by ukradli soubory cookie správce. a za druhé, na webu by mělo být implementováno monitorování integrity souborů prostřednictvím aktivních skenerů na straně serveru, což zajistí, že žádné změny kódu nezůstanou dlouho bez povšimnutí.