卡片略讀:它是什麼以及如何防止它
已發表: 2022-12-21在線信用卡盜竊已成為整個電子商務行業的主要安全問題,卡片竊取惡意軟件針對所有領先的網站建設平台。 最初是在 Magento 商店發現的,信用卡撇取器已經迅速發展,使 WordPress 網站成為主要目標。
研究表明,到 2022 年,超過 60% 的卡片分離器將目標對準了 WooCommerce 網站。隨著 WordPress 在電子商務行業的市場份額不斷增加,這一比例預計在未來幾年還會增長。
無論您是電子商務網站所有者還是經常在線購物的人,信用卡盜刷絕對是您應該注意的事情。 在本指南中,iThemes 將深入探討信用卡竊取問題,探索在線信用卡盜竊的本質及其對整個電子商務行業的不利影響。
您將了解如何在電子商務網站上植入竊卡器、它們如何竊取重要的支付信息,以及如果您懷疑您的在線商店感染了此類惡意軟件,該怎麼辦。 iThemes 還將為您提供有關如何保護您的 WooCommerce 網站免受在線信用卡盜竊的分步指南,以提供安全的購物體驗,尤其是在節日期間。
什麼是卡片略讀以及為什麼要關注?
竊取信用卡是一種在線信用卡盜竊,旨在通過在在線商店運行惡意軟件(稱為竊卡程序)來獲取關鍵支付信息。 竊取卡片的程序被注入電子商務網站,以竊取客戶在結賬頁面上輸入的信用卡或借記卡信息。 然後,此信用卡信息用於購買高價商品,這些商品通常在拍賣網站、Craigslist 或任何其他將硬商品變現的方式上出售。
竊取卡片起源於“離線”世界,因為犯罪分子會攻擊 ATM 機上的特殊設備以竊取卡片詳細信息,包括卡號和 PIN 碼。 儘管這種犯罪活動仍然是一個活躍的威脅,但電子商務的興起使犯罪分子更容易在線進行信用卡竊取。
如果您在網上購物,您應該了解卡片竊取的工作原理以及如何保護自己免受此類犯罪活動的侵害。 如果您是電子商務網站的所有者,了解卡片竊取惡意軟件的性質就顯得尤為重要,因為您現在被委託保護客戶敏感信息的安全並提供安全的購物體驗。
為什麼在線支付欺詐對電子商務如此不利?
電子商務行業的快速發展促使在線支付欺詐和竊取關鍵支付信息的新方法不斷湧現。 在線支付欺詐的典型循環從信用卡盜竊開始,繼續執行卡片攻擊以驗證被盜的卡詳細信息,最後以惡意行為者代表持卡人進行未經授權的交易結束。
在電子商務行業的所有類型的網絡安全威脅中,竊卡和梳理攻擊仍然是最有害的。 信用卡盜竊給所有相關方造成財務損失和聲譽損害,導致整個電子商務行業和支付生態系統的平衡狀態被破壞。
卡片撇取導致數據洩露的法律影響
盜卡惡意軟件助長了數據洩露,將敏感的支付信息暴露給黑客。 此類事件對任何電子商務業務都會產生重大影響,其中大部分會產生嚴重的長期影響。
隨著企業從惡意感染中恢復,財務和聲譽損失幾乎是不可避免的。 作為嚴重違反支付卡行業數據安全標準 (PCI-DSS) 合規性的行為,盜竊信用卡可能導致企業面臨罰款,甚至被永久驅逐出卡接受計劃。 受信用卡盜竊影響的企業必須通知相關的信用卡提供商以及持卡人和執法部門。
2020 年,華納音樂集團成為信用卡竊取者的目標。 雖然沒有透露有多少客戶受到影響,但該公司確認關鍵支付信息已被盜,並可能被用於欺詐交易。
處理在線支付欺詐並將其對在線購物的負面影響降至最低已成為企業和支付處理系統的共同努力。 儘管如此,在網絡安全方面仍然沒有最終的解決方案,因為即使是大公司和市場也遭受了大規模數據洩露的後果。 希望通過電子商務解決方案增加利潤的小型企業對惡意攻擊者更具吸引力,因為它們的防禦措施通常比中型或大型組織更少。 不幸的是,沒有人能倖免,我們都需要時刻警惕這些攻擊。
從 Magento 到 WooCommerce:卡片略讀的演變
作為一種惡意軟件,信用卡竊取程序的起源可以追溯到領先的電子商務網站建設平台的出現及其日益流行。
很明顯,竊卡器的存在時間至少與在線購物一樣長,但據信這種惡意軟件的興起可歸因於 Magento 的快速增長——Magento 是首批開源、專門構建的電子商務平台之一隨後受到廣泛關注。
MageCart 是最早為人所知的信用卡竊取工具之一,起源於 2014 年左右,其名稱來源於 Magento 電子商務平台,該平台在當時是信用卡竊取攻擊的主要目標。 Prestashop、OpenCart 以及最終的 WooCommerce 等其他平台的日益流行促使了信用卡竊取惡意軟件的發展。
根據 Sucuri 進行的研究,截至 2021 年,WordPress 在檢測到的信用卡竊取者總數方面已經超過了 Magento。 Built With 透露,到 2022 年,排名前 100 萬的電子商務網站中約有四分之一由 WooCommerce 提供支持。 隨著這一百分比預計會增長,針對 WordPress 生態系統的卡片分離器惡意軟件的數量也會增加。
撇卡器如何竊取付款信息? 基於 JavaScript 和 PHP 的惡意軟件
與任何其他動態 Web 應用程序一樣,電子商務網站將加載 PHP 和 JavaScript 代碼以提供無縫的購物體驗。 簡而言之,JavaScript 代碼在網站訪問者的瀏覽器中執行,而無需重新生成整個網頁。
盜卡器通過以下兩種方式之一竊取關鍵支付信息——在服務器端或用戶瀏覽器上運行惡意代碼。 這使得所有信用卡竊取程序都只分為兩組——基於 PHP 和 JavaScript 的惡意軟件。 由於 JavaScript 卡惡意軟件的性質,使用它來竊取敏感用戶信息通常被稱為 JavaScript 嗅探。
無論信用卡或借記卡詳細信息是如何從毫無戒心的電子商務客戶那裡竊取的,在結賬頁面上輸入的支付信息都將在通常稱為數據滲漏的過程中發送到黑客的滲漏域。 信用卡竊取器是在用戶的瀏覽器中運行還是在後端運行決定了這將如何發生。
基於 JavaScript 的卡片撇渣器
大多數時候,基於 JavaScript 的卡片分離器將被注入數據庫,從黑客在發起攻擊之前創建的欺詐網站加載惡意代碼。 實現這一目標的一種常見方法是使用 WordPress 管理儀表板中的小部件和 Magento 中的其他腳本。
在 WooCommerce 商店中,通常會從 WordPress 數據庫的 wp_options 或 wp_posts 表加載惡意的卡片瀏覽 JavaScript 代碼。 如果 Magento 網站成為此類網絡攻擊的受害者,卡片分離器通常會被注入到 core_config_table 中。
然而,將惡意代碼添加到構成 WooCommerce 功能的文件或其他 WordPress 插件或主題的一部分的情況並不少見。 主要目標是將添加的惡意代碼偽裝成合法代碼以避免被發現。
由於基於 JavaScript 的信用卡竊取程序在受害者的瀏覽器中執行並顯示在網站的源代碼中,因此它們可以被防病毒軟件、瀏覽器擴展程序和外部站點檢查程序檢測到。 基於 PHP 的卡片竊取惡意軟件並非如此,但這種惡意軟件的傳播範圍較小。
基於 PHP 的卡片撇渣器
儘管基於 PHP 的信用卡竊取程序不太常見,但創建的大量新 PHP 惡意軟件都是信用卡竊取惡意軟件。 這種類型的惡意軟件在電子商務網站的後端運行,並使用 cURL 等功能來洩露被盜的信用卡詳細信息。
在後端運行使得基於 PHP 的信用卡竊取程序無法被任何防病毒軟件檢測到,從而使它們對受害者的瀏覽器或外部站點檢查程序不可見。 這一點,再加上涉及信用卡盜竊的惡意軟件往往隱藏得很好,這使得發現和刪除變得更加困難。
黑客知道可以輕鬆驗證和監控 WordPress 核心文件的完整性,因此可以輕鬆檢測到任何惡意軟件。 基於 PHP 的信用卡分離器通常被注入到網站的插件或擴展文件中,或者通過創建一個假插件(wp-content 的插件文件夾中的一個文件夾)來添加。
Card Skimmers 如何最終出現在電子商務網站上?
與任何其他類型的惡意軟件一樣,信用卡竊取程序最終會因未經授權的訪問而出現在電子商務網站上。 想知道網站是如何被黑客入侵的? 黑客可以使用各種方法獲得對任何網站的訪問權限,其中絕大多數成功的攻擊都是暴力攻擊和漏洞利用。
小型網店往往忽視了網絡安全的關鍵因素,認為只有賺取高額利潤才可能引起黑客的興趣,足以使網站成為攻擊目標。 事實上,黑客通常不會選擇攻擊哪些網站。
大多數網絡攻擊都是高度自動化的,並且跨越數千個網站。 使用機器人網絡可以讓黑客一次瞄準盡可能多的網站,通常優先考慮數量而不是質量。 確定網站類型和所使用的內容管理系統有助於攻擊者決定利用何種漏洞和注入何種類型的惡意軟件。
所有 Magento 網站都將處理支付信息,而只有一部分基於 WordPress 的網站將使用 WooCommerce。 但是,通過一些額外的努力,可以很容易地根據是否存在購物車或結帳等網頁來確定網站是否為在線商店。 攻擊者可以輕鬆地自動化機器人來檢查電子商務功能和潛在漏洞的存在。
注入撇卡器需要什麼級別的訪問權限?
要注入用作卡片分離器的代碼,無論是 JavaScript 還是 PHP,攻擊者只需要一個入口點。 這可能是任何數量的事情,包括一個容易猜到的密碼,一個在另一個站點上重複使用並最終導致數據洩露轉儲的密碼,或者插件、主題甚至 WordPress 核心中的一個方便的漏洞。
同樣,一些不知情的網站所有者會在他們的託管帳戶中安裝其他 WordPress 網站。 這些額外的站點,如果不安全或未更新,可能會交叉感染託管帳戶中使用與易受攻擊站點相同的基於服務器的用戶的任何其他站點。
當攻擊者將卡片分離器添加到電子商務店面時,這些看似無害的錯誤可能會產生嚴重後果。
攻擊者可以將惡意的卡片略讀代碼添加到站點的文件、數據庫中,甚至可以添加一個鏈接,將代碼調用到其他地方託管的外部站點的結帳頁面中。
為了保持對受感染網站的控制,攻擊者還會注入後門——惡意軟件旨在繞過正常的身份驗證方法提供對網站的未經授權的管理員訪問。
Card Skimmer 被注入您的網站的早期跡象
信用卡竊取器通常很難被發現。 但是,與任何其他類型的惡意軟件一樣,它最終會在您看到一些網站遭到入侵的常見跡象時被識別出來。 網站訪問者會報告說他們看到了來自他們的防病毒軟件或瀏覽器擴展的安全警告,而谷歌則通過放置“Deceptive Site Ahead”警告來介入。 然而,在這一點上,可能為時已晚。
大多數企業主通常會忽視識別洩露漏洞的早期預警信號,甚至被他們的 IT 團隊和託管服務提供商忽視。 請記住,對網站運行方式的任何更改或對網站文件、文件權限或數據庫表所做的任何更改都應立即引起注意。
您越快檢測到對您網站的惡意入侵,您就能越快緩解問題並降低其影響。 卡片分離器對站點的影響 3 小時遠小於三天。 因此,早期預警系統對於減少違規的法律後果至關重要。
使用 iThemes Security Pro 及早發現信用卡盜竊
據估計,數據洩露平均需要 200 天才能被發現,因此依賴此類指標更多是一種被動方法,事實證明這種方法不可行,尤其是在電子商務方面。 安全加固、主動監控、及時修復漏洞是現代網絡安全手段的黃金標準。
使用 iThemes Security Pro 通過使用高級文件完整性監控和全天候漏洞掃描,可以幫助您收到網站上發生的任何可疑活動的警報。 版本管理功能允許您利用自動 WordPress 核心、主題和插件更新來避免處理主動漏洞利用的不利後果。
如何通過 3 個步驟在您的電子商務網站上檢測卡片分離器
黑客牢記的最終目標是盡可能長時間地不被發現注入盜卡器,因此盜卡惡意軟件通常可以偽裝成合法代碼。 請按照以下三個步驟在您的網站上找到卡片分離器。
如果您運行的是電子商務網站,則在發生妥協時,竊卡器被注入商店結賬頁面的可能性非常高。 在獲得更多信息之前暫停任何支付處理是在嘗試進行任何惡意軟件補救之前緩解持續攻擊的最佳方法。
第 1 步。檢查您網站的結帳是否加載了任何可疑資源
由於大多數信用卡瀏覽器都是基於 JavaScript 的,因此它們會被瀏覽器和外部站點檢查工具(例如 Google Search Console 或 Sucuri Site Check)檢測到。 大多數時候,竊取卡片的惡意軟件只會加載到結帳頁面或任何包含特定字符串(例如訂單、購物車或帳戶)的 URL 上。 話雖這麼說,但在網站上的許多地方都發現了刷卡軟件,包括頁腳文件、頭文件或主題功能文件。
手動檢查結賬頁面的源代碼,看看是否有任何可疑的 JavaScript 文件是從粗略的資源中加載的。 此代碼可能被混淆以致難以理解,或者它可能指的是另一個不熟悉的網站。 源代碼還將顯示直接注入網站文件的任何惡意 JavaScript 代碼。 由於此過程可能需要花費大量時間和精力,因此您可以求助於站點檢查工具或嘗試直接掃描您網站的數據庫。
使用像 phpMyAdmin 這樣的數據庫管理軟件,你可以用特定的字符串搜索你的數據庫表。 對於 WordPress,這些是 wp_options 和 wp_posts 表,而在 Magento 網站上,惡意 JavaScript 文件最有可能被注入到 core_config_data 表中。
雖然一些信用卡瀏覽器可以在沒有腳本標籤的情況下加載,但大多數仍會以傳統方式嵌入到網頁中。 您可以使用以下命令搜索數據庫表:
%script%src=%.js%script%
如果您不確定某個 JavaScript 文件是否構成安全威脅,請使用 VirusTotal 查看是否有安全供應商認為它是惡意的。 如果您在結帳頁面上沒有發現任何可疑的加載,則可能是基於 PHP 注入的竊卡器或黑客將惡意軟件偽裝成合法代碼做得很好。
第 2 步:掃描您的網站以查找惡意軟件
運行惡意軟件掃描以使用已知惡意軟件簽名分析網站文件在處理持續感染時非常有用。 儘管現代惡意軟件掃描可以幫助您識別大多數惡意代碼,但如果黑客沒有使用大量混淆,注入的信用卡竊取程序就有可能被遺漏。 您的託管帳戶提供商通常可以成為使用最新惡意軟件檢測功能進行惡意軟件掃描的重要事實來源。
步驟 3. 檢查最近修改的文件
如果不是從欺詐網站加載,則可以將竊取卡片的惡意軟件注入到您網站的文件中,包括主題、插件或擴展數據。 檢查您網站的腳本,按修改日期對它們進行排序,並將它們的內容與預期的內容進行比較。
手動掃描您的網站文件以查找惡意軟件時,需要注意重度代碼混淆。 卡片竊取器通常會使用 atob() JavaScript 函數來解碼數據,此類惡意軟件通常使用該函數。 基於 PHP 的卡片竊取程序通常利用 base64_decode() 和 base64_encode()。
然而,這通常僅在網站遭到破壞的初始階段才有用。 當惡意軟件感染在一段時間內未得到解決時,由於插件和主題更新、內容上傳和其他維護活動,惡意文件修改將更加難以發現。
iThemes Security Pro 監控所有文件更改,如果有任何涉及添加和刪除文件或修改任何數據的可疑活動,將通知您。 文件更改檢測功能還將通過將它們的內容與來自 WordPress.org 的內容進行比較,來驗證沒有惡意代碼被注入到 WordPress 核心、主題和插件文件中。
惡意軟件通常具有非標准文件權限,這也有助於檢測卡片分離器。 文件權限檢查功能將幫助您識別任何異常情況並驗證權限配置是否正確。
從盜卡惡意軟件中恢復
刪除信用卡竊取惡意軟件的過程與清理任何類型的被黑網站沒有什麼不同。 它包括以下關鍵步驟:
- 刪除已識別的惡意代碼,包括任何允許黑客在不加以檢查的情況下重新感染您的網站的後門程序。
- 檢查所有管理員帳戶並更改所有接入點密碼以避免未經授權的訪問。
- 將所有使用的軟件更新到最新版本,並刪除從未經驗證的來源安裝的任何插件或擴展。
在處理最近的黑客攻擊時,從乾淨的備份中恢復可能是最好的行動方案,尤其是當竊取卡片的惡意軟件被注入網站文件而不是數據庫表時。 當然,如果走這條路,查看您站點的日誌文件以確定入侵源是有意義的,這樣您就可以進行更改以更改受影響的密碼、修補漏洞或糾正任何其他入侵點。
如何通過 5 個步驟保護您的在線商店並防止盜卡
對於電子商務,網站安全至關重要。 保護您的網站免受卡片竊取程序和其他破壞性惡意軟件的侵害,首先要採取主動方法來減少攻擊面。
更具體地說,遵守最小特權原則並執行定期更新和漏洞修補。 以下是您需要採取的五個關鍵步驟,以從根本上減少任何惡意軟件進入您的電子商務商店的機會。
步驟 1. 選擇符合 PCI 標準的主機
接受、處理或存儲信用卡信息的企業必須遵守一套稱為 PCI DSS 的嚴格安全標準,以維護安全的環境。 如果您通過信用卡接受付款,則 PCI 合規性不是可有可無的; 這是強制性的。
選擇符合 PCI 標準的託管可幫助您作為企業主遵守嚴格的支付卡行業數據安全標準 (PCI DSS)。 符合 PCI 標準的主機會採取必要的步驟來滿足其服務器基礎設施的安全標準。
但是,這並不意味著您的在線商店將立即符合 PCI 標準。 許多 PCI DSS 合規性標准直接落在您身上,必須遵守以確保您的電子商務網站完全合規。
必須不斷監控合規性和服務器環境的安全性,並在必要時改進您的政策和程序。 Liquid Web 和 Nexcess 提供針對 WooCommerce 優化的符合 PCI 標準的託管服務,並定期進行漏洞掃描和惡意軟件監控。
第 2 步。保持您的網站軟件更新
配置自動 WordPress 核心、主題和插件更新,以在發現的漏洞可以在您的網站上被利用之前安裝最新的安全版本。 iThemes Security Pro 可以幫助您,因此您無需手動更新任何軟件。
iThemes Sync Pro 可以幫助您從一個儀表板管理多個網站,利用 iThemes Security Pro 提供的版本管理功能。 通過您的個人網站助手利用高級正常運行時間監控和關鍵 SEO 指標跟踪。
步驟 3. 使用多重身份驗證
密碼已損壞。 基於密碼的身份驗證使共享秘密成為黑客成功冒充您所需獲取的唯一信息。 此外,大多數後門允許攻擊者完全繞過身份驗證並再次感染網站,即使您更改了管理員帳戶的所有密碼也是如此。
即使您仍然留有先前妥協留下的後門,強制執行多因素身份驗證並使用其他方式保護您的網站管理儀表板,也不會允許黑客再次獲得未經授權的訪問。
iThemes Security Pro 允許您為 WooCommerce 在線商店配置 2 因素身份驗證,甚至是無密碼、基於密鑰的身份驗證。 如果無法訪問 WordPress 儀表板,黑客就不太可能將基於 JavaScript 的卡片竊取惡意軟件注入您的電子商務網站。
步驟 4. 創建備份策略
一個好的備份策略是絕對必要的,尤其是對於在線商店。 確保定期備份您的網站,並且至少將網站的幾個副本安全地存儲在遠程位置以確保數據冗餘。
BackupBuddy 是領先的 WordPress 數據保護和恢復解決方案,超過一百萬的 WordPress 和 WooCommerce 網站所有者每天都在使用它。 借助靈活的備份計劃、遠程備份存儲位置和一鍵式更新,您可以放心,您的網站不會因更新失敗、數據丟失或任何其他不幸事件(包括惡意軟件感染)而受到保護。
第 5 步。確保您的託管環境提供完全的用戶隔離
分析您的託管環境並確保您免受跨賬戶符號鏈接攻擊,利用不良的用戶隔離和不安全的文件權限。 如果您正在運行自己的虛擬或專用服務器,這一點尤其重要。
跨帳戶符號鏈接攻擊利用符號鏈接的使用來訪問位於同一服務器上其他網站上的敏感文件。 符號鏈接黑客可能導致黑客獲得對所選服務器上所有網站的訪問權限,除非 Linux 用戶彼此完全隔離。
要解決該嚴重漏洞,請考慮安裝 KernelCare 免費符號鏈接補丁或使用更強大的解決方案,例如 CloudLinux 提供的 CageFS。
包起來
在線信用卡竊取是針對電子商務網站的最具破壞性的惡意軟件攻擊之一。 從結賬處竊取關鍵的支付信息,竊取卡的惡意軟件將收到的數據發送到攻擊者的網站,允許他們在暗網上出售卡的詳細信息。
信用卡竊取惡意軟件(通常稱為 MageCart)最初出現在 Magento 網站上,發展迅速,使 WooCommerce 成為主要目標。 現代卡片分離器易於注入且難以檢測,使得數據洩露在一段時間內對網站所有者來說並不明顯。
保留電子商務網站的關鍵區域(例如管理面板)並採用文件完整性監控和及時修補漏洞是防止此惡意軟件進入您的在線商店的關鍵。 iThemes Security Pro 和 BackupBuddy 可以幫助您加強網站安全並創建出色的備份策略以抵禦最複雜的網絡攻擊並確保您的客戶安全。
保護和保護 WordPress 的最佳 WordPress 安全插件現在優惠 35%!
WordPress 目前為超過 40% 的網站提供支持,因此它很容易成為懷有惡意的黑客的目標。 iThemes Security Pro 插件消除了 WordPress 安全性的猜測,使保護和保護您的 WordPress 網站變得容易。 這就像擁有一名全職安全專家,不斷為您監控和保護您的 WordPress 網站。
現在到 2022 年 12 月底,您可以享受任何 iThemes Security Pro 計劃 35% 的折扣。 獲得最好的 WordPress 安全插件,讓您高枕無憂。 (優惠於 2022 年 12 月 31 日中部時間晚上 11:59 結束。)
Kiki 擁有信息系統管理學士學位和兩年多的 Linux 和 WordPress 經驗。 她目前是 Liquid Web 和 Nexcess 的安全專家。 在此之前,Kiki 是 Liquid Web Managed Hosting 支持團隊的一員,在那裡她幫助了數百名 WordPress 網站所有者並了解了他們經常遇到的技術問題。 她對寫作的熱情使她能夠分享自己的知識和經驗來幫助人們。 除了技術之外,Kiki 還喜歡了解太空和收聽真實的犯罪播客。