מתקפת סייבר חדשה לגניבת כרטיסי אשראי עושה דברים אחרת ממה שראינו בעבר, על ידי הסתרת הקוד הזדוני בתוך מודול התשלום Authorize.net עבור חנויות מסחר מקוון WooCommcerce, מה שמאפשר לפושעי הסייבר להתחמק מזיהוי של סריקות אבטחה. WooCommerce היא פלטפורמת מסחר אלקטרוני פופולרית לאתרי וורדפרס המשמשת כ- 40% מכל החנויות המקוונות. כדי לקבל תשלום בכרטיסי אשראי באתר, משתמשות חנויות במערכת עיבוד תשלומים כגון Authorize.net – מעבד פופולרי המשמש כ- 440,000 סוחרים מקוונים ברחבי העולם.
מבחינה היסטורית, כאשר פורצים האקרים אתר מסחר כמו מג'נטה או או וורדפרס המריץ את רכיב WooCommerce, הם מחדירים JavaScript זדוני ל- HTML של החנות או לדפי התשלום של הלקוחות. סקריפטים אלו יגנבו את פרטי הלקוח שהוזן בעת התשלום כגון מספרי כרטיסי אשראי, תאריכי תפוגה, מספרי CVV, כתובות, מספרי טלפון וכתובות דוא"ל. עם זאת, עובדים סוחרים מקוונים רבים עם חברות אבטחת תוכנת הסורקות את ה- HTML של אתרי מסחר אלקטרוני הפונה לציבור כדי למצוא סקריפטים זדוניים, מה שמקשה על הסתתרות ההאקרים. כדי להתחמק מזיהוי, מחדירים כעת ההאקרים סקריפטים זדוניים ישירות למודול שער התשלום של האתר המשמש לעיבוד תשלומים בכרטיסי אשראי בדף הקופה. מכיוון שהרחבות אלו נקראות בדרך כלל רק לאחר שהמשתמש מגיש את פרטי כרטיס האשראי שלו ומבצע צ'ק-אאוט בחנות, ייתכן שיהיה קשה יותר לזהות אותן באמצעות פתרונות אבטחת סייבר.
מתקפת הסייבר התגלתה על ידי מומחי אבטחת אתרים של Sucuri, לאחר שהוזעקו לחקור אירוע חריג באחת ממערכות לקוח שלהם. באתר שנפרץ גילתה Sucuri שהאקרים שינו את הקובץ "class-wc-authorize-net-cim.php", אחד הקבצים של Authorize.net התומכים באינטגרציה של שער התשלום לסביבות WooCommerce. הקוד המוזרק בתחתית הקובץ בודק אם גוף בקשת ה- HTTP מכיל את המחרוזת "wc-authorize-net-cim-credit-card-account-number", כלומר אם הוא נושא נתוני תשלום לאחר שהמשתמש בודק את העגלה שלו בחנות. אם כן, יוצר הקוד סיסמה אקראית, מצפין את פרטי התשלום של הקורבן ומאחסן אותו בקובץ תמונה שאותה מאחזרים ההאקרים מאוחר יותר. הזרקה שנייה שבוצעה על ידי ההאקרים היא ב-"wc-authorize-net-cim.min.js", גם הוא קובץ Authorize.net. הקוד המוזרק לוכד פרטי תשלום נוספים ממרכיבי טופס קלט באתר הנגוע במטרה ליירט את שם הקורבן, כתובת המשלוח, מספר הטלפון והמיקוד.
ככל שהאקרים מפתחים את הטקטיקה שלהם ומכוונים יותר ויותר לאתרי WooCommerce ו- וורדפרס, חיוני לבעלי אתרים ומנהלי אתרים להגביר עירנות ולאכוף אמצעי אבטחת מידע חזקים. מתקפת סייבר זו שהתגלתה על ידי Sukuri מדגישה את התחכום ההולך וגובר של גניבת כרטיסי אשראי ואת כושר ההמצאה של ההאקרים בעקיפת מערכות אבטחה.
