卡片略读:它是什么以及如何防止它

已发表: 2022-12-21

在线信用卡盗窃已成为整个电子商务行业的主要安全问题,卡片窃取恶意软件针对所有领先的网站建设平台。 最初是在 Magento 商店发现的,信用卡撇取器已经迅速发展,使 WordPress 网站成为主要目标。

研究表明,到 2022 年,超过 60% 的卡片分离器将目标对准了 WooCommerce 网站。随着 WordPress 在电子商务行业的市场份额不断增加,这一比例预计在未来几年还会增长。

无论您是电子商务网站所有者还是经常在线购物的人,信用卡盗刷绝对是您应该注意的事情。 在本指南中,iThemes 深入探讨了信用卡盗窃,探讨了在线信用卡盗窃的本质及其对整个电子商务行业的不利影响。

您将了解如何在电子商务网站上植入窃卡器、它们如何窃取重要的支付信息,以及如果您怀疑您的在线商店感染了此类恶意软件,该怎么办。 iThemes 还将为您提供有关如何保护您的 WooCommerce 网站免受在线信用卡盗窃的分步指南,以提供安全的购物体验,尤其是在节日期间。

卡片略读

什么是卡片略读以及为什么要关注?

窃取信用卡是一种在线信用卡盗窃,旨在通过在在线商店运行恶意软件(称为窃卡程序)来获取关键支付信息。 窃取卡片的程序被注入电子商务网站,以窃取客户在结账页面上输入的信用卡或借记卡信息。 然后,此信用卡信息用于购买高价商品,这些商品通常在拍卖网站、Craigslist 或任何其他将硬商品变现的方式上出售。

窃取卡片起源于“离线”世界,因为犯罪分子会攻击 ATM 机上的特殊设备以窃取卡片详细信息,包括卡号和 PIN 码。 尽管这种犯罪活动仍然是一个活跃的威胁,但电子商务的兴起使犯罪分子更容易在线进行信用卡窃取。

如果您在网上购物,您应该了解卡片窃取的工作原理以及如何保护自己免受此类犯罪活动的侵害。 如果您是电子商务网站的所有者,了解卡片窃取恶意软件的性质就显得尤为重要,因为您现在被委托保护客户敏感信息的安全并提供安全的购物体验。

为什么在线支付欺诈对电子商务如此不利?

电子商务行业的快速发展促使在线支付欺诈和窃取关键支付信息的新方法不断涌现。 在线支付欺诈的典型循环从信用卡盗窃开始,继续执行卡片攻击以验证被盗的卡详细信息,最后以恶意行为者代表持卡人进行未经授权的交易结束。

在电子商务行业的所有类型的网络安全威胁中,窃卡和梳理攻击仍然是最有害的。 信用卡盗窃给所有相关方造成财务损失和声誉损害,导致整个电子商务行业和支付生态系统的平衡状态被破坏。

卡片撇取导致数据泄露的法律影响

盗卡恶意软件助长了数据泄露,将敏感的支付信息暴露给黑客。 此类事件对任何电子商务业务都会产生重大影响,其中大部分会产生严重的长期影响。

随着企业从恶意感染中恢复,财务和声誉损失几乎是不可避免的。 作为严重违反支付卡行业数据安全标准 (PCI-DSS) 合规性的行为,盗窃信用卡可能导致企业面临罚款,甚至被永久驱逐出卡接受计划。 受信用卡盗窃影响的企业必须通知相关的信用卡提供商以及持卡人和执法部门。

2020 年,华纳音乐集团成为信用卡窃取者的目标。 虽然没有透露有多少客户受到影响,但该公司确认关键支付信息已被盗,并可能被用于欺诈交易。

处理在线支付欺诈并将其对在线购物的负面影响降至最低已成为企业和支付处理系统的共同努力。 尽管如此,在网络安全方面仍然没有最终的解决方案,因为即使是大公司和市场也遭受了大规模数据泄露的后果。 希望通过电子商务解决方案增加利润的小型企业对恶意攻击者更具吸引力,因为它们的防御措施通常比中型或大型组织更少。 不幸的是,没有人能幸免,我们都需要时刻警惕这些攻击。

从 Magento 到 WooCommerce:卡片略读的演变

作为一种恶意软件,信用卡窃取程序的起源可以追溯到领先的电子商务网站建设平台的出现及其日益流行。

很明显,窃卡器的存在时间至少与在线购物一样长,但据信这种恶意软件的兴起可归因于 Magento 的快速增长——Magento 是首批开源、专门构建的电子商务平台之一随后受到广泛关注。

MageCart 是最早为人所知的信用卡窃取工具之一,起源于 2014 年左右,其名称来源于 Magento 电子商务平台,该平台在当时是信用卡窃取攻击的主要目标。 Prestashop、OpenCart 以及最终的 WooCommerce 等其他平台的日益流行促使了信用卡窃取恶意软件的发展。

根据 Sucuri 进行的研究,截至 2021 年,WordPress 在检测到的信用卡窃取者总数方面已经超过了 Magento。 Built With 透露,到 2022 年,排名前 100 万的电子商务网站中约有四分之一由 WooCommerce 提供支持。 随着这一百分比预计会增长,针对 WordPress 生态系统的卡片分离器恶意软件的数量也会增加。

撇卡器如何窃取付款信息​​? 基于 JavaScript 和 PHP 的恶意软件

与任何其他动态 Web 应用程序一样,电子商务网站将加载 PHP 和 JavaScript 代码以提供无缝的购物体验。 简而言之,JavaScript 代码在网站访问者的浏览器中执行,而无需重新生成整个网页。

盗卡器通过以下两种方式之一窃取关键支付信息——在服务器端或用户浏览器上运行恶意代码。 这使得所有信用卡窃取程序都只分为两组——基于 PHP 和 JavaScript 的恶意软件。 由于 JavaScript 卡恶意软件的性质,使用它来窃取敏感用户信息通常被称为 JavaScript 嗅探。

无论信用卡或借记卡详细信息是如何从毫无戒心的电子商务客户那里窃取的,在结账页面上输入的支付信息都将在通常称为数据渗漏的过程中发送到黑客的渗漏域。 信用卡窃取器是在用户的浏览器中运行还是在后端运行决定了这将如何发生。

基于 JavaScript 的卡片撇渣器

大多数时候,基于 JavaScript 的卡片分离器将被注入数据库,从黑客在发起攻击之前创建的欺诈网站加载恶意代码。 实现这一目标的一种常见方法是使用 WordPress 管理仪表板中的小部件和 Magento 中的其他脚本。

在 WooCommerce 商店中,通常会从 WordPress 数据库的 wp_options 或 wp_posts 表加载恶意的卡片浏览 JavaScript 代码。 如果 Magento 网站成为此类网络攻击的受害者,卡片分离器通常会被注入到 core_config_table 中。

然而,将恶意代码添加到构成 WooCommerce 功能的文件或其他 WordPress 插件或主题的一部分的情况并不少见。 主要目标是将添加的恶意代码伪装成合法代码以避免被发现。

由于基于 JavaScript 的信用卡窃取程序在受害者的浏览器中执行并显示在网站的源代码中,因此它们可以被防病毒软件、浏览器扩展程序和外部站点检查程序检测到。 基于 PHP 的卡片窃取恶意软件并非如此,但这种恶意软件的传播范围较小。

基于 PHP 的卡片撇渣器

尽管基于 PHP 的信用卡窃取程序不太常见,但创建的大量新 PHP 恶意软件都是信用卡窃取恶意软件。 这种类型的恶意软件在电子商务网站的后端运行,并使用 cURL 等功能来泄露被盗的信用卡详细信息。

在后端运行使得基于 PHP 的信用卡窃取程序无法被任何防病毒软件检测到,从而使它们对受害者的浏览器或外部站点检查程序不可见。 这一点,再加上涉及信用卡盗窃的恶意软件往往隐藏得很好,这使得发现和删除变得更加困难。

黑客知道可以轻松验证和监控 WordPress 核心文件的完整性,因此可以轻松检测到任何恶意软件。 基于 PHP 的信用卡分离器通常被注入到网站的插件或扩展文件中,或者通过创建一个假插件(wp-content 的插件文件夹中的一个文件夹)来添加。

Card Skimmers 如何最终出现在电子商务网站上?

与任何其他类型的恶意软件一样,信用卡窃取程序最终会因未经授权的访问而出现在电子商务网站上。 想知道网站是如何被黑客入侵的? 黑客可以使用各种方法获得对任何网站的访问权限,其中绝大多数成功的攻击都是暴力攻击和漏洞利用。

小型网店往往忽视了网络安全的关键因素,认为只有赚取高额利润才可能引起黑客的兴趣,足以使网站成为攻击目标。 事实上,黑客通常不会选择攻击哪些网站。

大多数网络攻击都是高度自动化的,并且跨越数千个网站。 使用机器人网络可以让黑客一次瞄准尽可能多的网站,通常优先考虑数量而不是质量。 确定网站类型和所使用的内容管理系统有助于攻击者决定利用何种漏洞和注入何种类型的恶意软件。

所有 Magento 网站都将处理支付信息,而只有一部分基于 WordPress 的网站将使用 WooCommerce。 但是,通过一些额外的努力,可以很容易地根据是否存在购物车或结帐等网页来确定网站是否为在线商店。 攻击者可以轻松地自动化机器人来检查电子商务功能和潜在漏洞的存在。

注入撇卡器需要什么级别的访问权限?

要注入用作卡片分离器的代码,无论是 JavaScript 还是 PHP,攻击者只需要一个入口点。 这可能是任何数量的事情,包括一个容易猜到的密码,一个在另一个站点上重复使用并最终导致数据泄露转储的密码,或者插件、主题甚至 WordPress 核心中的一个方便的漏洞。

同样,一些不知情的网站所有者会在他们的托管帐户中安装其他 WordPress 网站。 这些额外的站点,如果不安全或未更新,可能会交叉感染托管帐户中使用与易受攻击站点相同的基于服务器的用户的任何其他站点。

当攻击者将卡片分离器添加到电子商务店面时,这些看似无害的错误可能会产生严重后果。

攻击者可以将恶意的卡片略读代码添加到站点的文件、数据库中,甚至可以添加一个链接,将代码调用到其他地方托管的外部站点的结帐页面中。

为了保持对受感染网站的控制,攻击者还会注入后门——恶意软件旨在绕过正常的身份验证方法提供对网站的未经授权的管理员访问。

Card Skimmer 被注入您的网站的早期迹象

信用卡窃取器通常很难被发现。 但是,与任何其他类型的恶意软件一样,它最终会在您看到一些网站遭到入侵的常见迹象时被识别出来。 网站访问者会报告说他们看到了来自他们的防病毒软件或浏览器扩展的安全警告,而谷歌则通过放置“Deceptive Site Ahead”警告来介入。 然而,在这一点上,可能为时已晚。

大多数企业主通常会忽视识别泄露漏洞的早期预警信号,甚至被他们的 IT 团队和托管服务提供商忽视。 请记住,对网站运行方式的任何更改或对网站文件、文件权限或数据库表所做的任何更改都应立即引起注意。

您越快检测到对您网站的恶意入侵,您就能越快缓解问题并降低其影响。 卡片分离器对站点的影响 3 小时远小于三天。 因此,早期预警系统对于减少违规的法律后果至关重要。

使用 iThemes Security Pro 及早发现信用卡盗窃

据估计,数据泄露平均需要 200 天才能被发现,因此依赖此类指标更多是一种被动方法,事实证明这种方法不可行,尤其是在电子商务方面。 安全加固、主动监控、及时修复漏洞是现代网络安全手段的黄金标准。

使用 iThemes Security Pro 通过使用高级文件完整性监控和全天候漏洞扫描,可以帮助您收到网站上发生的任何可疑活动的警报。 版本管理功能允许您利用自动 WordPress 核心、主题和插件更新来避免处理主动漏洞利用的不利后果。

如何通过 3 个步骤在您的电子商务网站上检测卡片分离器

黑客牢记的最终目标是尽可能长时间地不被发现注入盗卡器,因此盗卡恶意软件通常可以伪装成合法代码。 请按照以下三个步骤在您的网站上找到卡片分离器。

如果您运行的是电子商务网站,则在发生妥协时,窃卡器被注入商店结账页面的可能性非常高。 在获得更多信息之前暂停任何支付处理是在尝试进行任何恶意软件补救之前缓解持续攻击的最佳方法。

第 1 步。检查您网站的结帐是否加载了任何可疑资源

由于大多数信用卡浏览器都是基于 JavaScript 的,因此它们会被浏览器和外部站点检查工具(例如 Google Search Console 或 Sucuri Site Check)检测到。 大多数时候,窃取卡片的恶意软件只会加载到结帐页面或任何包含特定字符串(例如订单、购物车或帐户)的 URL 上。 话虽这么说,但在网站上的许多地方都发现了刷卡软件,包括页脚文件、头文件或主题功能文件。

手动检查结账页面的源代码,看看是否有任何可疑的 JavaScript 文件是从粗略的资源中加载的。 此代码可能被混淆以致难以理解,或者它可能指的是另一个不熟悉的网站。 源代码还将显示直接注入网站文件的任何恶意 JavaScript 代码。 由于此过程可能需要花费大量时间和精力,因此您可以求助于站点检查工具或尝试直接扫描您网站的数据库。

使用像 phpMyAdmin 这样的数据库管理软件,你可以用特定的字符串搜索你的数据库表。 对于 WordPress,这些是 wp_options 和 wp_posts 表,而在 Magento 网站上,恶意 JavaScript 文件最有可能被注入到 core_config_data 表中。

虽然一些信用卡浏览器可以在没有脚本标签的情况下加载,但大多数仍会以传统方式嵌入到网页中。 您可以使用以下命令搜索数据库表:

%script%src=%.js%script%

如果您不确定某个 JavaScript 文件是否构成安全威胁,请使用 VirusTotal 查看是否有安全供应商认为它是恶意的。 如果您在结帐页面上没有发现任何可疑的加载,则可能是基于 PHP 注入的窃卡器或黑客将恶意软件伪装成合法代码做得很好。

第 2 步:扫描您的网站以查找恶意软件

运行恶意软件扫描以使用已知恶意软件签名分析网站文件在处理持续感染时非常有用。 尽管现代恶意软件扫描可以帮助您识别大多数恶意代码,但如果黑客没有使用大量混淆,注入的信用卡窃取程序就有可能被遗漏。 您的托管帐户提供商通常可以成为使用最新恶意软件检测功能进行恶意软件扫描的重要事实来源。

步骤 3. 检查最近修改的文件

如果不是从欺诈网站加载,则可以将窃取卡片的恶意软件注入到您网站的文件中,包括主题、插件或扩展数据。 检查您网站的脚本,按修改日期对它们进行排序,并将它们的内容与预期的内容进行比较。

手动扫描您的网站文件以查找恶意软件时,需要注意重度代码混淆。 卡片窃取器通常会使用 atob() JavaScript 函数来解码数据,此类恶意软件通常使用该函数。 基于 PHP 的卡片窃取程序通常利用 base64_decode() 和 base64_encode()。

然而,这通常仅在网站遭到破坏的初始阶段才有用。 当恶意软件感染在一段时间内未得到解决时,由于插件和主题更新、内容上传和其他维护活动,恶意文件修改将更加难以发现。

iThemes Security Pro 监控所有文件更改,如果有任何涉及添加和删除文件或修改任何数据的可疑活动,将通知您。 文件更改检测功能还将通过将它们的内容与来自 WordPress.org 的内容进行比较,来验证没有恶意代码被注入到 WordPress 核心、主题和插件文件中。

恶意软件通常具有非标准文件权限,这也有助于检测卡片分离器。 文件权限检查功能将帮助您识别任何异常情况并验证权限配置是否正确。

从盗卡恶意软件中恢复

删除信用卡窃取恶意软件的过程与清理任何类型的被黑网站没有什么不同。 它包括以下关键步骤:

  • 删除已识别的恶意代码,包括任何允许黑客在不加以检查的情况下重新感染您的网站的后门程序。
  • 检查所有管理员帐户并更改所有接入点密码以避免未经授权的访问。
  • 将所有使用的软件更新到最新版本,并删除从未经验证的来源安装的任何插件或扩展。

在处理最近的黑客攻击时,从干净的备份中恢复可能是最好的行动方案,尤其是当窃取卡片的恶意软件被注入网站文件而不是数据库表时。 当然,如果走这条路,查看您站点的日志文件以确定入侵源是有意义的,这样您就可以进行更改以更改受影响的密码、修补漏洞或纠正任何其他入侵点。

如何通过 5 个步骤保护您的在线商店并防止盗卡

对于电子商务,网站安全至关重要。 保护您的网站免受卡片窃取程序和其他破坏性恶意软件的侵害,首先要采取主动方法来减少攻击面。

更具体地说,遵守最小特权原则并执行定期更新和漏洞修补。 以下是您需要采取的五个关键步骤,以从根本上减少任何恶意软件进入您的电子商务商店的机会。

步骤 1. 选择符合 PCI 标准的主机

接受、处理或存储信用卡信息的企业必须遵守一套称为 PCI DSS 的严格安全标准,以维护安全的环境。 如果您通过信用卡接受付款,则 PCI 合规性不是可有可无的; 这是强制性的。

选择符合 PCI 标准的托管可帮助您作为企业主遵守严格的支付卡行业数据安全标准 (PCI DSS)。 符合 PCI 标准的主机会采取必要的步骤来满足其服务器基础设施的安全标准。

但是,这并不意味着您的在线商店将立即符合 PCI 标准。 许多 PCI DSS 合规性标准直接落在您身上,必须遵守以确保您的电子商务网站完全合规。

必须不断监控合规性和服务器环境的安全性,并在必要时改进您的政策和程序。 Liquid Web 和 Nexcess 提供针对 WooCommerce 优化的符合 PCI 标准的托管服务,并定期进行漏洞扫描和恶意软件监控。

第 2 步。保持您的网站软件更新

配置自动 WordPress 核心、主题和插件更新,以在发现的漏洞可以在您的网站上被利用之前安装最新的安全版本。 iThemes Security Pro 可以帮助您,因此您无需手动更新任何软件。

iThemes Sync Pro 可以帮助您从一个仪表板管理多个网站,利用 iThemes Security Pro 提供的版本管理功能。 通过您的个人网站助手利用高级正常运行时间监控和关键 SEO 指标跟踪。

步骤 3. 使用多重身份验证

密码已损坏。 基于密码的身份验证使共享秘密成为黑客成功冒充您所需获取的唯一信息。 此外,大多数后门允许攻击者完全绕过身份验证并再次感染网站,即使您更改了管理员帐户的所有密码也是如此。

即使您仍然留有先前妥协留下的后门,强制执行多因素身份验证并使用其他方式保护您的网站管理仪表板,也不会允许黑客再次获得未经授权的访问。

iThemes Security Pro 允许您为 WooCommerce 在线商店配置 2 因素身份验证,甚至是无密码、基于密码的身份验证。 如果无法访问 WordPress 仪表板,黑客就不太可能将基于 JavaScript 的卡片窃取恶意软件注入您的电子商务网站。

步骤 4. 创建备份策略

一个好的备份策略是绝对必要的,尤其是对于在线商店。 确保定期备份您的网站,并且至少将网站的几个副本安全地存储在远程位置以确保数据冗余。

BackupBuddy 是领先的 WordPress 数据保护和恢复解决方案,超过一百万的 WordPress 和 WooCommerce 网站所有者每天都在使用它。 借助灵活的备份计划、远程备份存储位置和一键式更新,您可以放心,您的网站不会因更新失败、数据丢失或任何其他不幸事件(包括恶意软件感染)而受到保护。

第 5 步。确保您的托管环境提供完全的用户隔离

分析您的托管环境并确保您免受跨账户符号链接攻击,利用不良的用户隔离和不安全的文件权限。 如果您正在运行自己的虚拟或专用服务器,这一点尤其重要。

跨帐户符号链接攻击利用符号链接的使用来访问位于同一服务器上其他网站上的敏感文件。 符号链接黑客可能导致黑客获得对所选服务器上所有网站的访问权限,除非 Linux 用户彼此完全隔离。

要解决该严重漏洞,请考虑安装 KernelCare 免费符号链接补丁或使用更强大的解决方案,例如 CloudLinux 提供的 CageFS。

包起来

在线信用卡窃取是针对电子商务网站的最具破坏性的恶意软件攻击之一。 从结账处窃取关键的支付信息,窃取卡的恶意软件将收到的数据发送到攻击者的网站,允许他们在暗网上出售卡的详细信息。

信用卡窃取恶意软件(通常称为 MageCart)最初出现在 Magento 网站上,发展迅速,使 WooCommerce 成为主要目标。 现代卡片分离器易于注入且难以检测,使得数据泄露在一段时间内对网站所有者来说并不明显。

保留电子商务网站的关键区域(例如管理面板)并采用文件完整性监控和及时修补漏洞是防止此恶意软件进入您的在线商店的关键。 iThemes Security Pro 和 BackupBuddy 可以帮助您加强网站安全并创建出色的备份策略以抵御最复杂的网络攻击并确保您的客户安全。