محققین شرکت چینی فعال در زمینه امنیت سایبری  Qihoo 360 اخیرا اطلاعاتی را در مورد یک کارزار هک کارت اعتباری افشا کرده اند که هم اکنون در حال دزدی اطلاعات پرداخت از مشتریان بیش از ۱۰۵ وبسایت فروش آنلاین در دنیاست.بعد از ماه هابررسی وتحت نظر داشتن دامنه مشکوک

www.magento-analytics[.]com روشن شد که هکرها از طریق این دامنه اسکریپت های JS خرابکار را به صدها هزار وبسایت فروش تزریق کرده اند.

اسکریپت های JavaScript مورد نظر شامل کد skimmer کارت اعتباری می شود که وقتی روی یک وبسایت اجرا می شود به طور اتوماتیک اطلاعات کارت را سرقت میکند.این اطلاعات شامل اسم دارنده کارت،شماره کارت ،تاریخ انقضای کارت ، شماره cvv،که توسط مشتریان وبسایت قربانی وارد میشود.

طبق گفته یکی از متخصصین این شرکت هنوز اطلاعات کافی در مورد جزئیات دقیق کاری هکرها در دست نیست و اینکه معلوم نیست دقیقا چه آسیب هایی متوجه این وبسایت هاست ولی تایید کرده که کلیه وبسایت هایی که آلوده شدند از سیستم مدیریت محتوای Magento e-commerce استفاده می کنند.

در آنالیزهای بیشتر معلوم شده که اسکریپت خرابکار بعد از سرقت اطلاعات کارت ها این اطلاعات را به فایل دیگری روی سرور

www.magento-analytics[.]com می فرستد که در کنترل مهاجمین است.

کاربران به سایت مورد نظرشون برای خرید وارد میشن همزمان با ورود کاربر به سایت اسکریپت مورد نظر هم اجرا می شود کاربر بعد از انتخاب کالا وقتی وارد مرحله پرداخت میشود اطلاعات کارت اعتباری خود را وارد میکند بعد از وارد کردن کد cvv اطلاعات کاربر به سرور هکرها منتقل میشود.تکنیک مورد استفاده توسط این گروه هکری جدید نیست ودقیقا همانند روش مورد استفاده توسط گروه MageCart است که در صدها حمله خودشون استفاده کردند مانند حملات اخیرشون به Ticketmaster ،British Airways و Newegg.

البته هنوز ارتباطی بین این حملات و گروه MageCart پیدا نشده.همچنین هکرها برای گمراه کردن و جلب اطمینان از کلید واژه Magento در نام دامنه خودشون اسفاده کردن واین دامنه هیچ ارتباطی با سیستم مدیریت محتوای Magento  ندارد.این دامنه www.magento-analytics[.]com در پاناما رجیستر شده ودر ماه های اخیر IP adress مربوط به آن از آریزونا تا مسکو و هنگ کنگ تغییر کرده.از آنجاییکه هکرها از آسیب پذیری های مشابهی در سایت های فروش انلاین برای تزریق اسکریپت های خرابکار استفاده میکنند به مدیران سایت ها توصیه میشود جدیدترین تمهیدات امنیتی را در قبال این خطرات اتخاذ کنند نصب آخرین آپدیت ها و محدود کردن دسترسی سرور های مشکوک و به کارگیری CSP یا content security policy برای کنترل ومحدود کردن source های قابل لود روی سایت.در نهایت کاربرانی که از سایت های فروش آنلاین استفاده می کنند باید متوجه باشند که به دقت تراکنش های مالی کارت های خودشون را تحت نظر داشته باشند حتی اگر مبالغ بسیار ناچیزی از این حساب ها جابهجا شود.