Redakční systém WordPress nemusí sloužit jen k provozování statických webových prezentací či internetových magazínů. Na jeho základech lze rozjet například e-shop – stačí nainstalovat a nakonfigurovat plugin pro elektronické obchodování, jako je například WooCommerce. Moc dobře to vědí hackeři, jež se přes infikované zásuvné moduly snaží získávat platební údaje zákazníků.

Odborníci z bezpečnostní firmy Sucuri zveřejnili informace o zaznamenaných pokusech o krádež informací o platebních kartách. Útočníci využívají probíhající předvánoční nákupní sezónu a snaží se injektovat do e-shopů škodlivý kód, fungující jako skryté skimmovací zařízení.

„Tento příběh začíná stejně jako mnoho dalších, které na tomto blogu probíráme.“ uvádí bezpečnostní analytik Ben Martin. „Klient se na nás obrátil s tím, že řada jeho zákazníků nahlásila, že krátce po nákupu na jeho webových stránkách došlo k neoprávněné aktivitě na jejich kreditních kartách. Naše počáteční skenování nic nenašlo, takže jsme se pustili do vyšetřování, abychom našli příčinu.“

Ukázalo se, že se hackeři nejprve nabourají do webu s redakčním systémem WordPress a vloží do něj „zadní vrátka“. Ta jim umožňují zachovat si přístup k webu, i když jeho správce nainstaluje nejnovější bezpečnostní aktualizace WordPressu a pluginů. Když útočníci „zadní vrátka“ použijí, vyhledají seznam správců a k přístupu použijí jejich autorizační soubor cookie a aktuální přihlašovací údaje.

Pak přidávají do náhodných zásuvných modulů škodlivý kód, jehož úkolem je sbírat a odesílat zadané údaje o platebních kartách. Bezpečnostní analytici například odhalili doménu hostovanou na serveru Alibaba v Německu, jež neměla žádnou vazbu na zkoumané kompromitované webové stránky. Na ní si útočníci nechali posílat platební informace, jež mohli následně zneužít.

Způsob zachytávání informací o platebních kartách v elektronickém obchodě se výrazně liší od většiny infekcí webových stránek. Nejčastěji se setkáváme se spamem, škodlivým přesměrováním a phishingem. Tyto metody jsou obvykle velmi nápadné a útočníci se je často ani nesnaží skrývat.

Naproti tomu infekce vedená snahou získat čísla karet bývají dobře skryté a jejich nalezení může vyžadovat značné úsilí. Čím déle zůstává infekce skrytá, tím více čísel kreditních karet mohou útočníci odcizit, takže se jim opravdu vyplatí věnovat čas na co nejlepší ukrytí. Někdy se jedná pouze o jeden řádek kódu injektovaný do souborů nebo databáze.

V některých případech útočníci používají JavaScript, nicméně tentokrát veškeré operace související s odcizením a odesláním údajů o kartě probíhaly na straně serveru. Bezpečnostní experti tak původně nenašli ve zdrojovém kódu stránek nic, co by naznačovalo, že se něco takového děje. Pravdu odhalila až podrobná analýza protokolů.

Správcům e-shopů postavených na WordPressu je doporučeno několik ochranných opatření, jež mají minimalizovat následky případného útoku. Za prvé: přístup do wp-admin by měl být omezen pouze na konkrétní IP adresy. Pak i v případě pokusu o instalaci „zadních vrátek“ nemohou útočníci získat plný přístup, a to ani kdyby ukradli soubory cookie správce.

Za druhé by na webu mělo být implementováno monitorování integrity souborů prostřednictvím aktivních skenerů běžících na serveru, které zajistí, že případná změna kódu nezůstane bez povšimnutí. Do třetice všeho dobrého je doporučeno kontrolovat protokoly – měly by se v nich odrážet veškeré změny souborů, témat nebo aktualizace pluginů.

„Pokud provozujete web s elektronickým obchodem, buďte v období svátků obzvláště obezřetní. V této době dochází k největšímu počtu útoků a napadení e-shopů, protože útočníci mají zájem vydělat na ukradených údajích o kreditních kartách.“ uzavírá analytik Ben Martin.

Hackeři zkoušejí krást údaje o platebních kartách z e-shopů postavených na WordPressu