Hacking | E-shopy | WordPress

Hackeři zkoušejí krást údaje o platebních kartách z e-shopů postavených na WordPressu

Redakční systém WordPress nemusí sloužit jen k provozování statických webových prezentací či internetových magazínů. Na jeho základech lze rozjet například e-shop – stačí nainstalovat a nakonfigurovat plugin pro elektronické obchodování, jako je například WooCommerce. Moc dobře to vědí hackeři, jež se přes infikované zásuvné moduly snaží získávat platební údaje zákazníků.

Odborníci z bezpečnostní firmy Sucuri zveřejnili informace o zaznamenaných pokusech o krádež informací o platebních kartách. Útočníci využívají probíhající předvánoční nákupní sezónu a snaží se injektovat do e-shopů škodlivý kód, fungující jako skryté skimmovací zařízení.

Jak z e-shopu ukrást údaje o platební kartě

„Tento příběh začíná stejně jako mnoho dalších, které na tomto blogu probíráme,“ uvádí bezpečnostní analytik Ben Martin. „Klient se na nás obrátil s tím, že řada jeho zákazníků nahlásila, že krátce po nákupu na jeho webových stránkách došlo k neoprávněné aktivitě na jejich kreditních kartách. Naše počáteční skenování nic nenašlo, takže jsme se pustili do vyšetřování, abychom našli příčinu.“

Ukázalo se, že se hackeři nejprve nabourají do webu s redakčním systémem WordPress a vloží do něj „zadní vrátka“. Ta jim umožňují zachovat si přístup k webu, i když jeho správce nainstaluje nejnovější bezpečnostní aktualizace WordPressu a pluginů. Když útočníci „zadní vrátka“ použijí, vyhledají seznam správců a k přístupu použijí jejich autorizační soubor cookie a aktuální přihlašovací údaje.

Pak přidávají do náhodných zásuvných modulů škodlivý kód, jehož úkolem je sbírat a odesílat zadané údaje o platebních kartách. Bezpečnostní analytici například odhalili doménu hostovanou na serveru Alibaba v Německu, jež neměla žádnou vazbu na zkoumané kompromitované webové stránky. Na ní si útočníci nechali posílat platební informace, jež mohli následně zneužít.

Jako skimmovací zařízení na bankomatu

Způsob zachytávání informací o platebních kartách v elektronickém obchodě se výrazně liší od většiny infekcí webových stránek. Nejčastěji se setkáváme se spamem, škodlivým přesměrováním a phishingem. Tyto metody jsou obvykle velmi nápadné a útočníci se je často ani nesnaží skrývat.

Naproti tomu infekce vedená snahou získat čísla karet bývají dobře skryté a jejich nalezení může vyžadovat značné úsilí. Čím déle zůstává infekce skrytá, tím více čísel kreditních karet mohou útočníci odcizit, takže se jim opravdu vyplatí věnovat čas na co nejlepší ukrytí. Někdy se jedná pouze o jeden řádek kódu injektovaný do souborů nebo databáze.

V některých případech útočníci používají JavaScript, nicméně tentokrát veškeré operace související s odcizením a odesláním údajů o kartě probíhaly na straně serveru. Bezpečnostní experti tak původně nenašli ve zdrojovém kódu stránek nic, co by naznačovalo, že se něco takového děje. Pravdu odhalila až podrobná analýza protokolů.

Dbejte na ochranu

Správcům e-shopů postavených na WordPressu je doporučeno několik ochranných opatření, jež mají minimalizovat následky případného útoku. Zaprvé: přístup do wp-admin by měl být omezen pouze na konkrétní IP adresy. Pak i v případě pokusu o instalaci „zadních vrátek“ nemohou útočníci získat plný přístup, a to ani kdyby ukradli soubory cookie správce.

Zadruhé by na webu mělo být implementováno monitorování integrity souborů prostřednictvím aktivních skenerů běžících na serveru, které zajistí, že případná změna kódu nezůstane bez povšimnutí. Do třetice všeho dobrého je doporučeno kontrolovat protokoly – měly by se v nich odrážet veškeré změny souborů, témat nebo aktualizace pluginů.

„Pokud provozujete web s elektronickým obchodem, buďte v období svátků obzvláště obezřetní. V této době dochází k největšímu počtu útoků a napadení e-shopů, protože útočníci mají zájem vydělat na ukradených údajích o kreditních kartách,“ uzavírá analytik Ben Martin.

Diskuze (14) Další článek: Jak cloudová úložiště podporují armové procesory? U Applu dobře, u Microsoftu mizerně

Témata článku: Bezpečnost, Web, Německo, Hacking, E-shopy, Kód, Javascript, Soubor, WordPress, Plugin, Webová stránka, Kreditní karta, Platební karta, E-shop, Údaj, Zadní vrátka, Sucuri, Alibaba, Hacker, Povšimnutí



Jak bez rootu odinstalovat z Androidu nepotřebné aplikace a bloatware? Stačí propojení s počítačem

Jak bez rootu odinstalovat z Androidu nepotřebné aplikace a bloatware? Stačí propojení s počítačem

** Potřebujete v Androidu uvolnit místo? ** Běžná odinstalace aplikací nemusí u tzv. „bloatwaru“ fungovat ** Nemusíte rootovat, ale vystačíte si se sadou nástrojů ADB

Martin Chroust
BloatwareJak...Android
Na uživatele Androidů se valí další malware, který jim chce vysát bankovní účty

Na uživatele Androidů se valí další malware, který jim chce vysát bankovní účty

** Android je opět cílem útoků zákeřného malwaru ** V nové verzi stále primárně krade data pro přístup k bankovnictví ** Nově však po ukončení „neplechy“ dokáže smazat celý telefon!

Martin Chroust
AntivirusMobilní bankovnictvíMalware
Navrhli jsme si základní desku Bobík 32S2. Stálo to pár dolarů a za čtyři dny dorazila z Asie

Navrhli jsme si základní desku Bobík 32S2. Stálo to pár dolarů a za čtyři dny dorazila z Asie

** Dnes si ukážeme, že design tištěného obvodu zvládne i zelenáč ** Díky editoru EasyEDA si vystačíte s webovým prohlížečem ** Hotovou desku vyrobí hongkongský JLCPCB

Jakub Čížek
BastleníDIYPojďme programovat elektroniku
QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

** Čtvercový grafický kód usnadňuje život už mnoho let ** S rostoucí oblibou a využitím přibývá i podvodů ** Nejčastěji jsou podvody zaměřeny na podstrčení falešného kódu

Martin Miksa
PodvodQR kódBezpečnost
České televize se tak moc bojí videoher, až je to směšné (komentář)

České televize se tak moc bojí videoher, až je to směšné (komentář)

** Jeden z největších obchodů historie se nedostal do hlavních zpráv ** Videohry televizím slouží jen k honění senzací, není to seriózní byznys ** České videohry jsou přitom úspěšnější než jiná kulturní díla

Lukáš Václavík
HryKomentářByznys
Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

** Materiál „Kit 300“ představuje vizuální i termální kamufláž ** Dokáže zablokovat tepelné vyzařování maskovaného vojáka či třeba stroje ** Velký kus materiálu Kit 300 může ukrýt vozidlo až do velikosti Hummeru

Stanislav Mihulka
IzraelMateriálArmáda
Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

** Sdílení účtů mezi kamarády je jen začátek ** Dnes letí nákupy předplatných v Indii nebo na Aliexpressu ** Superlevné „netflixy“ ale mohou nakonec spíš škodit

Lukáš Václavík
PředplatnéNetflixSpotify