تحذر الباحثات من برنامج ضار غير ملحوظ يسرق معلومات الدفع من مواقع ووردبريس

Image by Luca Bravo, from Unsplash

تحذر الباحثات من برنامج ضار غير ملحوظ يسرق معلومات الدفع من مواقع ووردبريس

وقت القراءة: 2 دقائق

باحثو الأمن السيبراني في Sucuri ينبهون أصحاب المواقع الإلكترونية عن نوع جديد من الهجمات السيبرانية التي تستهدف مواقع التجارة الإلكترونية على ووردبريس.

في عجلة من أمرك؟ ها هي الحقائق السريعة!

  • يقوم البرنامج الضار بحقن جافا سكريبت الخبيثة في قاعدة بيانات ووردبريس لسرقة تفاصيل الدفع خلال عملية الدفع.
  • يتفعل على صفحات الدفع ويقوم بالتقاط البيانات مثل أرقام البطاقات الائتمانية وأكواد CVV.
  • البيانات المسروقة يتم تشفيرها وإرسالها إلى خوادم بعيدة يتحكم فيها المهاجمون.

هذا الهجوم، المعروف بحملة الاستيلاء على بطاقات الائتمان، مصمم لسرقة معلومات الدفع من العملاء بشكل سري. يعمل البرنامج الخبيث في الخلفية، يقوم بحقن الشيفرة الخبيثة في قاعدة بيانات موقع ووردبريس ويعرض صفحات الدفع حيث يدخل العملاء تفاصيل الدفع الخاصة بهم.

البرمجيات الخبيثة ماكرة بشكل خاص لأنها لا تعتمد على إصابة ملفات الثيمات أو الإضافات، التي يتم فحصها عادة بحثاً عن الأكواد الخبيثة. بل تختبئ داخل قاعدة البيانات، مما يجعلها أكثر صعوبة في الكشف عنها.

بشكل خاص، يتم تضمين الكود الخبيث في جدول “wp_options”، وهو جزء حاسم من إعداد ووردبريس، كما لوحظ بواسطة Sucuri. هذا يسمح له بتجنب الكشف عنه عن طريق الأدوات الأمنية الشائعة والبقاء على المواقع المصابة بدون أن يتم الإزعاج منه.

بمجرد تفعيل البرامج الخبيثة، تستهدف صفحة الدفع، حيث يدخل المستخدمون أرقام بطاقات الائتمان الخاصة بهم، وتواريخ الانتهاء، وأكواد CVV. يبحث الكود الخبيث عن كلمة “الدفع” في عنوان الويب للتأكد من أنه يعمل فقط على صفحة الدفع، مما يمنع تشغيله في أجزاء أخرى من الموقع.

إما أن يضيف نموذج دفع مزيف أو يختطف النموذج الموجود بالفعل، مما يجعله يبدو كأن المستخدمين يقومون بإدخال تفاصيلهم على نموذج معالج الدفع المشروع، مثل Stripe.

عندما يدخل العملاء معلومات بطاقات الائتمان الخاصة بهم، يقوم البرنامج الخبيث بالتقاطها في الوقت الفعلي. لجعل البيانات المسروقة أكثر صعوبة في الكشف عنها، يقوم البرنامج الخبيث بتشويش المعلومات باستخدام تقنيات الترميز والتشفير، ثم يرسلها إلى خوادم بعيدة تحت سيطرة المهاجم.

يتم هذا العمل بصمت، بحيث لن يلاحظ العملاء أي شيء غير عادي أثناء إكمال عمليات الشراء. يتم بيع البيانات المسروقة بعد ذلك في الأسواق السرية أو استخدامها للمعاملات الاحتيالية، مما يعرض العملاء والشركات للخطر.

ما يجعل هذا الهجوم خطيرًا بشكل خاص هو أنه يعمل دون تعطيل عملية الدفع، لذا يظل المستخدمون غير مدركين لسرقة بياناتهم.

يقول الباحثون أن أصحاب المواقع يمكنهم حماية أنفسهم من خلال التحقق بانتظام من وجود أي أكواد مشبوهة في لوحة إدارة WordPress، وتحديداً تحت قسم “الواجهات الصغيرة” أو “Widgets”. ينبغي عليهم البحث عن أكواد جافا سكريبت غير مألوفة قد تشير إلى وجود برامج ضارة.

 

هل أعجبك هذا المقال؟ امنحه تقييمًا!
كان سيئًا لم يعجبني كان معقولًا جيد إلى حد كبير! أحببته!

يسعدنا أن عملنا أعجبك!

نهتم برأيك لأنك من قرّائنا الذين نقدِّرهم، فهلّ يمكن أن تقيّمنا على Trustpilot؟ إنه إجراء سريع ويعني الكثير لنا. شكرًا لتعاونك القيّم!

قيِّمنا على Trustpilot
0 بتصويت 0 من المستخدمين
عنوان
تعليق
شكرًا على ملاحظاتك!
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

اترك تعليقًا

Loader
Loader عرض المزيد…