حملات کلاهبرداری تجارت الکترونیک به یک مشکل اساسی در سه سال گذشته تبدیل شده است و شرکتهای تجاری بزرگی که از بستر Magento استفاده میکنند توسط یک بدافزار به نام Magecart که مبالغ هنگفتی را از آن خود کرده است، آسیب دیدهاند.
هدف این نوع حمله، سوءاستفاده از ضعف امنیتی برای تزریق کد مخرب در سیستمهای پرداختی و بهدست آوردن اطلاعات کارت اعتباری زمان واردکردن آنها توسط مشتری است. مشتریان، محصولات یا خدماتی که برای آنها هزینه پرداخت کردهاند را دریافت میکنند، در حالی که در پسزمینه جنایتکاران دادههای لازم را بهمنظور کلاهبرداری کارت ضبط کردهاند. این حملات معمولاً تا زمانی که قربانی دارندهی کارت شکایتی نکند، شناسایی نمیشود.
کارشناسان شرکت امنیتی Sucuri، یک نرمافزار جدید کلاهبرداری الکترونیکی کشف کردند که با بدافزارهای مشابه مورد استفاده در حملات Magecart متفاوت است. این نرمافزار جدید کلاهبرداری، در حمله به فروشگاه الکترونیکی مستقر در WordPress با سوءاستفاده از آسیبپذیریهای افزونهی WooCommerce به کار گرفته میشود. مهاجمان در این حملات از کد جاوااسکریپت مخرب مخفی درون سیستمفایل استفاده میکنند و اطلاعات پرداختی درون تنظیمات افزونهی WooCommerceرا تغییر میدهند.
اغلب تزریقهای کد جاوااسکریپت، در انتهای فایل قانونی /wp-includes/js/jquery/jquery.js است (روش مؤثری که کشف آن برای مدافعان آسان است)؛ اما در این حملهی جدید، کد جاوااسکریپت قبل از انتهای jQuery.noConflict() تزریق شده است.
بخشی از اسکریپتی که اطلاعات کارت را ضبط میکند، در فایل "./wp-includes/rest-api/class-wp-rest-api.php" تزریق شده است. سپس این اسکریپت از تابع قانونی legal_put_contents برای ذخیرهسازی آنها در دو فایل تصویری مجزا (یک فایل PNG و یک فایل JPEG) که در شاخهی wp-content/uploads نگهداری میشوند، استفاده میکند. این بدافزار مخرب جزئیات پرداخت را جمعآوری میکند و شماره کارت و کد امنیتی CVV را به صورت ابرمتن در قالب کوکی ذخیره میکند.
در زمان تجزیه و تحلیل، هیچ یک از این دو فایل حاوی اطلاعات سرقتی نبودهاند؛ شرایطی که نشان میدهد پس از بهدست آوردن اطلاعات توسط مهاجمان، این بدافزار دارای قابلیت پاکسازی خودکار فایلها است.
همانطور که در بدافزارهای PHP معمول است، از چندین لایه رمزگذاری و الحاق در تلاش برای جلوگیری از شناساییشدن و پنهان کردن کد اصلی آن از یک مدیر وب مستر استفاده میشود. تنها نشانهی بارز این حمله بر سیستم مدیریت محتوای WordPress این بود یک فایل PHP جهت تضمین بارگذاریشدن کد مخرب اضافه شده بود.
اگر این حملات علیه سایتهای تجارت الکترونیک کوچکتر باشد، معمولاً تغییر اطلاعات پرداختی و ارسال سرمایه به یک حساب کاربری مخرب، آسانتر است.
متأسفانه هنوز مشخص نیست که مهاجمان چگونه در مرحلهی اول وارد سایت شدهاند، اما به احتمال زیاد از طریق به خطر انداختن حساب کاربری مدیر یا با سوءاستفاده از یک آسیبپذیری نرمافزار در WordPress یا WooCommerce این امر میسر شده است.
لازم به ذکر است که تمامی فروشگاههای تجارت الکترونیک نیاز به دفاع دقیقی دارند. WooCommerce این کار را از طریق تغییر در نامکاربری پیشفرض WordPress که admin بوده است به چیزی که حدس آن برای مهاجمان دشوار است و همچنین بااستفاده از یک گذرواژهی قوی، انجام داده است.
علاوه بر تنظیمات امنیتی خاص مانند محدودکردن تلاش برای ورود به سیستم و استفاده از احرازهویت دوعاملی، بهروزرسانی WordPress و افزونهی WooCommerce هم مهم است. همچنین متخصصان Sucuri به مدیران وبسایتهای WordPress توصیه میکنند که ویرایش مستقیم فایل را برای wp-admin با اضافهکردن خط define( ‘DISALLOW_FILE_EDIT’, true ); به فایل wp-config.php، غیرفعال کنند.
- 506