Uma nova forma de clonagem de cartões de crédito/débito está acontecendo. De acordo com o site BleepingComputer, os cibercriminosos estão ocultando um código malicioso dentro do gateway de pagamento (plataforma para realizar pagamentos) chamado "Authorize.net" do WooCommcerce, um plugin gratuito open source (código-fonte aberto) utilizado em e-commerce no WordPress. Para quem não conhece, o WordPress é uma plataforma voltada para a criação de páginas e blogs online.
Normalmente, quando hackers invadem algum site que utiliza a plataforma WordPress ou Magenta com o plugin WooCommerce, eles injetam um código em JavaScript no HTML da loja online ou nas páginas de checkout (conclusão da compra) do cliente. Esses scripts (códigos) roubam informações inseridas pelo comprador como, por exemplo, os dados do cartão de crédito/débito (número, validade, código de segurança), endereços, número de telefone, e-mails, entre outras informações. Entretanto, os administradores de e-commerce atualmente contratam empresas de software de segurança que realizam a verificação do HTML, tornando mais difícil o acesso não autorizado a informações de clientes.
Como funciona a nova técnica para roubo de informações de e-commerce (lojas online)
Os cibercriminosos, também chamados de hackers, estão utilizando agora scripts (códigos) maliciosos diretamente nos módulos de gateway de pagamento do site (loja online/e-commerce), conhecida também como plataforma de processamento de pagamentos, utilizada para quando o cliente faz compras utilizando seu cartão de crédito/débito. Como essa extensão de pagamento geralmente é utilizada depois que o usuário envia os dados do cartão e faz o checkout para finalizar a compra, é mais difícil de soluções de segurança cibernética detectarem as ações do invasor. Essa técnica foi descoberta por especialistas em segurança da Sucuri, uma empresa de desenvolvimento de serviços baseados em nuvem para segurança e desempenho de sites.
A Sucuri descobriu que os cibercriminosos modificam o arquivo "class-wc-authorize-net-cim.php", que é um dos arquivos do "Authorize.net", do plugin WooCommcerce, utilizado em sites de lojas online que utilizam a plataforma WordPress. O "Authorize.net" permite que haja a integração do gateway de pagamento, sistema utilizado para compras com cartões de crédito/débito, e é através de seus arquivos que o código malicioso é injetado.
O código utilizado pelo hacker na parte inferior do arquivo "class-wc-authorize-net-cim.php" verifica se o corpo da solicitação HTTP possui a string (linha de código) "wc-authorize-net-cim-credit-card-account-number". Isso significa que o código já carrega os dados de pagamento depois que um usuário verifica seu carrinho em uma loja online. Se houver alguma informação ali, o código gera uma senha aleatório e criptografa os dados de pagamento da vítima com AES-128-CBC e, em seguida, armazena isso em um arquivo de imagem que é recuperado depois pelos cibercriminosos.
Após fazer o procedimento acima, uma segunda injeção de código é feita no arquivo "wc-authorize-net-cim.min.js" no "Authorize.net". Esse código captura detalhes de pagamento adicionais dos formulários do site de uma loja online. O objetivo disso é coletar o nome da vítima, além do endereço de entrega, número de telefone e CEP.
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.