به گزارش ثریا حملات کلاهبرداری تجارت الکترونیک به یک مشکل اساسی در سه سال گذشته تبدیل شده و شرکتهای تجاری بزرگی که از بستر Magento استفاده میکنند توسط یک بدافزار به نام Magecart که مبالغ هنگفتی را از آن خود کرده است، آسیب دیدهاند.
هدف این نوع حمله، سوءاستفاده از ضعف امنیتی برای تزریق کد مخرب در سیستمهای پرداختی و بهدست آوردن اطلاعات کارت اعتباری زمان واردکردن آنها توسط مشتری است.
مشتریان، محصولات یا خدماتی که برای آنها هزینه پرداخت کردهاند را دریافت میکنند، در حالی که در پسزمینه جنایتکاران دادههای لازم را بهمنظور کلاهبرداری کارت ضبط کردهاند.
این حملات معمولاً تا زمانی که قربانی دارنده کارت شکایتی نکند، شناسایی نمیشود.
کارشناسان شرکت امنیتی Sucuri، یک نرمافزار جدید کلاهبرداری الکترونیکی کشف کردند که با بدافزارهای مشابه مورد استفاده در حملات Magecart متفاوت است.
این نرمافزار جدید کلاهبرداری، در حمله به فروشگاه الکترونیکی مستقر در WordPress با سوءاستفاده از آسیبپذیریهای افزونه WooCommerce به کار گرفته میشود. مهاجمان در این حملات از کد جاوااسکریپت مخرب مخفی درون سیستمفایل استفاده میکنند و اطلاعات پرداختی درون تنظیمات افزونه WooCommerce را تغییر میدهند.
اغلب تزریقهای کد جاوااسکریپت، در انتهای فایل قانونی /wp-includes/js/jquery/jquery.js است (روش مؤثری که کشف آن برای مدافعان آسان است)؛ اما در این حمله جدید، کد جاوااسکریپت قبل از انتهای jQuery.noConflict تزریق شده است.
بخشی از اسکریپتی که اطلاعات کارت را ضبط میکند، در فایل «./wp-includes/rest-api/class-wp-rest-api.php» تزریق شده است. سپس این اسکریپت از تابع قانونی legal_put_contents برای ذخیرهسازی آنها در دو فایل تصویری مجزا (یک فایل PNG و یک فایل JPEG) که در شاخه wp-content/uploads نگهداری میشوند، استفاده میکند. این بدافزار مخرب جزئیات پرداخت را جمعآوری میکند و شماره کارت و کد امنیتی CVV را به صورت ابرمتن در قالب کوکی ذخیره میکند.
در زمان تجزیه و تحلیل، هیچ یک از این دو فایل حاوی اطلاعات سرقتی نبودهاند؛ شرایطی که نشان میدهد پس از بهدست آوردن اطلاعات توسط مهاجمان، این بدافزار دارای قابلیت پاکسازی خودکار فایلها است.
همانطور که در بدافزارهای PHP معمول است، از چندین لایه رمزگذاری و الحاق در تلاش برای جلوگیری از شناساییشدن و پنهان کردن کد اصلی آن از یک مدیر وب مستر استفاده میشود. تنها نشانه بارز این حمله بر سیستم مدیریت محتوای WordPress این بود یک فایل PHP جهت تضمین بارگذاریشدن کد مخرب اضافه شده بود.
اگر این حملات علیه سایتهای تجارت الکترونیک کوچکتر باشد، معمولاً تغییر اطلاعات پرداختی و ارسال سرمایه به یک حساب کاربری مخرب، آسانتر است.
متأسفانه هنوز مشخص نیست که مهاجمان چگونه در مرحله اول وارد سایت شدهاند، اما به احتمال زیاد از طریق به خطر انداختن حساب کاربری مدیر یا با سوءاستفاده از یک آسیبپذیری نرمافزار در WordPress یا WooCommerce این امر میسر شده است.
تمامی فروشگاههای تجارت الکترونیک نیاز به دفاع دقیقی دارند. WooCommerce این کار را از طریق تغییر در نامکاربری پیشفرض WordPress که admin بوده است به چیزی که حدس آن برای مهاجمان دشوار است و همچنین با استفاده از یک گذرواژه قوی، انجام داده است.
علاوه بر تنظیمات امنیتی خاص مانند محدودکردن تلاش برای ورود به سیستم و استفاده از احراز هویت دوعاملی، بهروزرسانی WordPress و افزونه WooCommerce هم مهم است.
همچنین متخصصان Sucuri به مدیران وبسایتهای WordPress توصیه میکنند که ویرایش مستقیم فایل را برای wp-admin با اضافهکردن خط define ( ‘DISALLOW_FILE_EDIT’, true ); به فایل wp-config.php، غیرفعال کنند.
منبع: خبرگزاری مهر
احیای اخلاق در زندگی فردی و اجتماعی با بازخوانی فلسفه عاشورا
بنی امیه چگونه به قدرت رسید؟/ تبارشناسی ۹۱ سال حکومت استبدادی
دعوت از عاشقان اهل بیت برای شرکت در طرح توسعه حرم امام حسین (ع)
منطقه زینبیه استانبول سیاهپوش محرم شد؛ آغاز برنامه های عزاداری
رئیس سازمان فضایی ایران خبر داد: بهکارگیری ظرفیتهای ویژه ماهوارهای در تشییع رهبر شهید انقلاب
زنگ میراث فرهنگی و موزه در مدارس نواخته میشود
معافیت برخی المپیادها از کنکور و همزمانی آزمونها؛ همچنان چالش اصلی دانشآموزان
قابل توجه دانش آموزان: برنامه جدید امتحانات نهایی اعلام شد+جدول
هشدار به مدارس غیردولتی؛ با هرگونه دریافت شهریه غیرقانونی برخورد میشود
دبیر شورای عالی انقلاب فرهنگی: اختیار پذیرش دانشجویان به دانشگاهها واگذار شود
حاج اکبر مولایی در اولین شب از ماه محرم آسمانی شد
روایت شیخ حسین انصاریان از سه حقی که خداوند بر انسانها نهاده است
تجمعات خیابانی و مراسم ویژه در میادین تهران برای عزاداری محرم
مصرفگرایی؛ پارادایم فرهنگی که تمام زندگی بشر را تسخیر کرد
شروع برنامه ملی «میناب ۱۵۶»؛ بورسیه تحصیلی برای دانشجویان مستعد کمبرخوردار
علی دایی به دیدار اکبر عبدی رفت+عکس
خروج هواپیماهای سوخترسان آمریکایی از فلسطین اشغالی پس از تفاهم با ایران
امیرحسین مدرس برنامه نغمههای حسینی را به مناسبت ماه محرم اجرا میکند
منوچهر هادی: درآوردن سکانس صدای رئیس جمهور در سریال ۴۸ ساعت وقت گرفت
دیوارنگاره میدان ولیعصر (عج) حال و هوای محرمی گرفت
نمایش تابوت عهد در تالار سایه به روی صحنه میرود
پانتهآ پناهیها در نمایش جدید صابر ابر به روی صحنه میرود
زمان تشییع پیکر بهروز رضوی اعلام شد
مساجد پایگاههایی برای شناسایی استعدادهای درخشان
به یاد کودکان میناب در جام جهانی فوتبال
اخلاص و پیامرسانی؛ کلید ماندگاری عاشورا
نگاهی به پیشینه تاریخی ایرانیان در عزاداری محرم
شبکههای اجتماعی برای زیر ۱۶ سالهها ممنوع شد
تمرکز بر امنیت سایبری و تابآوری شبکه در ایام تشییع رهبر شهید
دانشگاه علوم پزشکی تهران رتبه ۷۰۱ جهان را کسب کرد؛ همچنان صدرنشین دانشگاههای ایران
محقق ایرانی پمپ مینیاتوری برای نرم روباتها ابداع کرد
اندیشمندان مسلمان از شهدای کودک میناب میگویند
خبر خوش برای فناوران علوم شناختی؛ حمایت بدون سقف از طرحهای فناوری
دانشجویان میتوانند اعتراض به احکام انضباطی را به وزارت علوم بدهند
وزیر علوم: دانشجویان جدیدالورود احتمالاً از نیمسال دوم وارد دانشگاه میشوند
زمان برگزاری آزمون کارشناسی ارشد ناپیوسته ۱۴۰۵ جابهجا شد
خودروهای خودران بایدو با نام «AmiGo» مجوز فعالیت در شرق سوئیس گرفتند
رقابت سخت منطقهای برای جذب دانشجویان خارجی؛ هشدار دانشگاه امیرکبیر
امضای تفاهمنامه مشترک دانشگاههای صنعتی UT۵ برای تقویت همافزایی
تغییر زمان امتحانات دانشگاهها در ایام تشییع رهبر شهید انقلاب
تأثیر مثبت نمرات پایه یازدهم در کنکور ۱۴۰۵؛ سوابق دوازدهم همچنان ۶۰ درصد
طرح «حامی» برای جبران کاستیهای یادگیری دانشآموزان اجرا میشود
وام ودیعه مسکن دانشجویان علوم پزشکی برای شهر تهران افزایش یافت
شهید لاریجانی؛ الگویی که مصلحت جامعه را بر فرد مقدم میدانست
بحران صندلی خالی در دانشگاهها؛ هشدار درباره آینده نزدیک
رئیس دانشگاه جامع انقلاب اسلامی: روحیه دفاع مقدس را در علم و فناوری بازتولید کنیم
حذف آزمون جامع در راه است؟ برنامه تحول وزارت علوم برای مقاطع کارشناسی تا دکتری
سنت منطقی اسلامی چگونه پشتوانه مواجهه با منطق ریاضی است؟
جهان اسلام به این روحانی فرزانه و اهل ادب میبالد
بانو مجتهده امین نماد توانمندی زنان است
بازیگر معروف: صداپیشگان شایسته دریافت اسکار بازیگری هستند
اختتامیه پویش ملی وطن به روایت من برگزار شد
اهدای نامه سید مجید موسوی و انگشتر یادبود به فرزند شهید سید مصطفی میرغفاری
حرمهای کربلا در آستانه محرم سیاه پوش شدند
زمان تشییع رهبر شهید اعلام شد +جزئیات را اینجا بخوانید
هزینه ثبتنام جهش تحصیلی دانشآموزان اعلام شد
مجموعهکتاب «داستانهای غولی» درباره اهمیت آب به کودکان میآموزد
نگاهی به نقش توییتر در جنگ رسانهای دشمن در کتاب «توئیتری شدن سیاست»
تکرار سنت اهریمنی استکبار در عاشورای ۱۴۰۵ در حمله به یک منابع آب
طراح بازی «نجات دختران اپستین توسط بچههای میناب» از این بازی میگوید
درباره زندگی رازآمیز درختان در این کتاب بخوانید
هکرها پیامرسان دولتی فرانسه را هک کردند
رونمایی آستان مقدس علوی از پروژه نگارش نسخهای نفیس از نهجالبلاغه
اختراع کتی که هوا را به آب آشامیدنی تبدیل میکند
وزیر علوم: اساتید دانشگاه با امید و انگیزه در کلاس درس حاضر شوند
مقابله با موج محتوای غیرقانونی در بحرانها؛ بریتانیا شبکههای اجتماعی را ملزم به سازوکار ویژه کرد
شکایت جدید علیه OpenAI؛ ChatGPT نتوانست جلوی خودکشی کاربر را بگیرد
مأموریت دانشگاهها در برنامه «مهر» برای حل بحران آب، ناترازی انرژی و تورم
بازگشت ۴۵۰۰ دانشجوی دانشگاه شریف از امروز
تأکید رئیس مرکز هیئت امنا و ممیزه بر نقش کلیدی فناوری در دفاع ملی
آگهی/ از خرید کابل برق چه میدانید؟ راهنمایی که پیش از هر بازسازی باید بخوانید
توانمندسازی مدرسان آموزش خانواده با رویکرد جوانی جمعیت
ایلان ماسک نخستین تریلیونر دنیا میشود
افزایش سهمیه بومی در دستیاری دندانپزشکی؛ اعلام آخرین مهلت ثبتنام
تاکید بر ارتقای کیفیت آموزش هُنر در مدارس
اپ ادیتس متا صاحب دستیار هوش مصنوعی می شود
تبدیل شدن آئین تعویض پرچم امام حسین(ع) به رویدادی جهانی
اهمیت هوش مصنوعی در مسیر ارتقای کیفیت آموزشی
جلسه تلاوت و هماندیشی قاریان بینالمللی مزین به نام رهبر شهید
فلسفه در اندیشه حضرت امام، مقدمهای ضروری برای رسیدن به عرفان است
تعیین سقف افزایش شهریه دانشگاههای غیردولتی بر اساس نرخ تورم
افزایش سهمیه بومی در دستیاری دندانپزشکی؛ اعلام آخرین مهلت ثبتنام
جزئیات جدید اعمال سوابق تحصیلی در کنکور سراسری ۱۴۰۵ را اینجا بخوانید
مأموریت دانشگاهها در برنامه «مهر» برای حل بحران آب، ناترازی انرژی و تورم
اختتامیه پویش ملی وطن به روایت من برگزار شد
واکاوی در مسئله عرفان و سلامت معنوی کودکان در یک نشست
افتتاح سردخانه دومداره آمونیاکی شهر اهر با حضور حجت الاسلام خاموشی
رویکردی اجتهادی بر جایگاه مردم در حکمرانی از منظر فقه شیعه در کتاب «فقه، مردم و حکمرانی»
خدمات ابری گوگل در هند مختل شد
تبدیل شدن آئین تعویض پرچم امام حسین(ع) به رویدادی جهانی
چه چیزی کلید مرگ را در کهکشانها میچرخاند؟
جنجال غیبت زنان در میان فضانوردان آرتمیس ۳
تأکید رئیس مرکز هیئت امنا و ممیزه بر نقش کلیدی فناوری در دفاع ملی
وزیر علوم: دانشجویان جدیدالورود احتمالاً از نیمسال دوم وارد دانشگاه میشوند
نیاز داریم که همگی نسبت به معضلات و نیازها احساس مسئولیت کنیم
اقدامات حرم حضرت ابوالفضل العباس(ع) برای استقبال از ماه محرم
جدایی متا از شریک چینی جنجالی کلید خورد
اپ ادیتس متا صاحب دستیار هوش مصنوعی می شود
تکرار سنت اهریمنی استکبار در عاشورای ۱۴۰۵ در حمله به یک منابع آب
حذف آزمون جامع در راه است؟ برنامه تحول وزارت علوم برای مقاطع کارشناسی تا دکتری
نتیجه نهایی گفتگوی پیامبر با مسیحیان نجران پس از ماجرای مباهله چه شد؟
تاکید بر ارتقای کیفیت آموزش هُنر در مدارس
رئیس دانشگاه جامع انقلاب اسلامی: روحیه دفاع مقدس را در علم و فناوری بازتولید کنیم
اهدای نامه سید مجید موسوی و انگشتر یادبود به فرزند شهید سید مصطفی میرغفاری
به کارگیری هوش مصنوعی جمینای در کروم به غرب آسیا رسید
بحران صندلی خالی در دانشگاهها؛ هشدار درباره آینده نزدیک
زمان تشییع رهبر شهید اعلام شد +جزئیات را اینجا بخوانید
توانمندسازی مدرسان آموزش خانواده با رویکرد جوانی جمعیت
اختراع کتی که هوا را به آب آشامیدنی تبدیل میکند
شهید لاریجانی؛ الگویی که مصلحت جامعه را بر فرد مقدم میدانست
نظراتی که حاوی توهین یا افترا به اشخاص ،قومیت ها ،عقاید دیگران باشد و یا با قوانین کشور وآموزه های دینی مغایرت داشته باشد منتشر نخواهد شد - لطفاً نظرات خود را با حروف فارسی تایپ کنید.