WordPress-sites die de plug-in WooCommerce gebruiken zijn doelwit van creditcard skimming. Het is de eerste keer dat Magecart-achtige (hackersgroepering) aanvallen gericht op WordPress ontdekt worden.

De aanvallen zijn ontdekt door Sucuri-beveiligingsonderzoeker Ben Martin. Sucuri ontving een melding dat er bij klanten van een bedrijf frauduleuze creditcardtransacties plaatsvonden.

Martin ontdekte een code-injectie om zowel het creditcardnummer als de kaartbeveiligingscode te stelen van de consumenten. De aanvallen passen een JavaScript-file aan dat gebruikt wordt door WordPress, waardoor de code lastig te detecteren is.

Gestolen data wordt naar twee afbeeldingsbestanden gestuurd opgeslagen in de wp-content/uploads map en worden automatisch verwijderd op het moment dat de hackers het bestand openen.

Martin raadt bedrijven aan om direct file editing voor wp-admin uit te schakelen om zo de beveiliging van hun WordPress-website te verhogen. Dit kan je doen door de volgende regel aan je wp-config.php.bestand toe te voegen: define( ‘DISALLOW_FILE_EDIT’, true );.”

Volgens Martin waren WooCommerce en andere e-commerce websites die op WordPress zijn gebaseerd al eerder het doelwit, maar is dit doorgaans beperkt tot het wijzigen van de betalingsgegevens binnen de plug-in instellingen.

Online creditcard skimming

De meeste mensen zullen bij het horen van creditcard skimming denken aan pinautomaten die door criminelen zijn gewijzigd om creditcardgegevens te kopiëren en te stelen van niks vermoedende mensen. Maar online kan een creditcard ook geskimd worden zonder dat mensen het doorhebben. De bekendste hackgroep die op een grote schaal creditcardgegevens stelen is Magecart en zij zijn verantwoordelijk voor de diefstal van betaalgegevens en personele informatie van onder andere 380.000 klanten van British Airways in 2018. Hetzelfde jaar waren ook 40.000 klanten van Ticketmaster slachtoffer geworden van webskimming.