ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

今日、企業とバイヤーが共通の基盤を見つけたとき、e コマース スペースです。 オンライン ショッピングは、最も自然な現象になっています。そして、Magento のような CMS (コンテンツ管理システム) は、このニッチで盛んなソフトウェアの 1 つです。しかし、それはサイバー攻撃の不幸な標的になるという結果をもたらしました。まあ、Magento でのクレジット カードのハッキングは前例のないことではありません。以前の攻撃リストに加えて、Magento でのクレジット カード ハッキングの新しい事例が明らかになりました。

クレジット カード ハッキングの兆候

過去に、Opencart や Prestashop などの主要な e コマース CMS でクレジット カードのハッキングが繰り返し見られました。この種のハッキングでは、ハッカーは新しい支払い方法を追加するか、偽の支払いフォームを作成します。これらのトリックにより、彼は貴重なクレジット カード情報を釣り上げることができました。

この特定のハッキングは、Magento ユーザーの 1 人が、彼の Web サイトの支払いゲートウェイで怪しいことが起こっていると私たちに報告したときに明らかになりました。当社のエンジニアが Web サイトをスキャンしたところ、実際にハッキングされていることがわかりました。

Magento Store チェックアウト ページに追加された偽のフォーム

以下は、ハッカーによって追加された偽のフォームの写真です。画像の右側は、名前、クレジット カード番号などの別の詳細セットを含む必須フォームを示しています。このフォームに挿入された詳細は、ハッカーに送信されます。

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

Astra の Magento マルウェア スキャナー

ユーザーから最初のヒントを得た後、Astra のエンジニアは遅滞なく顧客の Web サイトでマルウェア スキャナーを実行しました。このスキャンには、感染した正確な場所/ファイルが示されていることも明らかになりました。この特定のケースでは、マルウェアは JS ファイルで見つかりました .

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

悪意のあるコードが見つかりました

その後、倫理的ハッキング チームがさらに詳しく調査したところ、ハッカーが数行のコードを悪用してセキュリティを侵害していたことがわかりました。

次の図は、侵害されたコードを示しています。

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩 Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

クレジット カードのハッキング防止方法

もちろん、当社のセキュリティ チームはマルウェアを Web サイトから手動で削除しました。その後、強化されたセキュリティ設定で正常な状態に復元しました。

以下を実行して、Web サイトからクレジット カードのハッキングを確認して削除できます。

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

関連ガイド – Magento セキュリティの完全なステップ バイ ステップ ガイド (ハッキングされるリスクを 90% 削減)

Magento によるセキュリティ パッチのインストール

Magento は、ユーザーがインストールするセキュリティ パッチをタイムリーにリリースします。それらのインストールに遅れをとらないでください。ストアを最新バージョンにアップグレードすることは、命の恩人になる可能性があります。

管理フォルダの名前を変更

フォルダの名前を変更すると、攻撃者が見つけにくくなります。さらに、.htaccess を利用して、管理者以外の IP によるログイン フォルダへのアクセスを禁止できます。

カタログの保護

.htaccess また、.txt、.twig などのカタログや機密ファイルを保護するためにも使用できます。ファイル マッチがその役割を果たします。

厳密なフォルダ権限を設定

管理者のみがアクセスできるようにファイル、フォルダー、およびサブフォルダーを制限すると、セキュリティが大幅に強化されます。

厳密なファイル許可を設定

機密ファイルのファイル権限を 644 に設定します または 444 .この権限を持つと、管理者以外の全員が書き込み/変更を制限されます。一部の機密ファイルは次のとおりです:

  • config.php
  • index.php
  • admin/config.php
  • admin/index.php
  • system/startup.php

関連記事- Magento クレジット カード マルウェア ハックを削除する方法

結論

e コマース サイトで毎日報告されている攻撃の数を考えると、e コマースはハッカーにとって切望されている分野であると言えます。また、他のものよりも安全である必要があるという事実を裏付けています。クレジット カードのハッキングからストアを保護するには、Web サイトがアップグレードされ、すべての重要なファイルが手の届かないところにあることを確認してください。これを自分で解決できない場合は、Astra Security をご利用ください。

Astra のファイアウォールは、Web サイトを SQLi、XSS、悪意のあるボット、および 100 以上のセキュリティ脅威から防ぎます。当社のマルウェア スキャナは、最初に Web サイトを 10 分でスキャンし、その後のスキャンには 1 分もかかりません。このスキャナーは、ユーザーが必要に応じて利用できます。 Astra の VAPT (Vulnerability Assessment &Penetration Testing) は、Web サイトにコーディングの欠陥やマルウェアが残らないようにします。

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩

Magento Store に追加された偽の支払い方法 – クレジット カード情報が漏洩


  1. Magento ストアがハッキングされましたか?完全な Magento マルウェア削除ガイド

    Magento は、インターネットの 1.2%、すべての e コマース サイトの 12% を支えています。純粋な数では、250,000 のアクティブなサイトが Magento を使用しています。 e コマース サイトは大量の顧客データを処理するため、ハッカーの主な標的になります。そのため、この危機から抜け出すために、段階的な Magento ハック除去テクニックをまとめました。このガイドでは、Magento Web サイトの症状、例、考えられる原因、予防のヒントについて詳しく説明します。 Magento のハッキング タイプが不足しているわけではありませんが、Magento ではクレジット

  2. クレジット カード詐欺とは何か?また、それを防ぐ方法は?

    「あなたの詳細を安全な Vault に保存することで、クレジット カードを詐欺師から守り、クレジット カード詐欺を防ぎます。」 私たちのほとんどは、キャッシュレス決済の便利さを楽しんでいます。現金を持ち歩いたり、小切手を書いたりする心配を減らします。しかし、クレジットカードやデビットカードをオンラインで使用することに伴うリスクについて知っている人は、ごくわずかです。そのため、人口の 4 分の 1 がクレジット カード詐欺の餌食になっています。では、クレジット カード詐欺や個人情報の盗難から身を守るには、どうすればよいでしょうか? プラスチックマネーの使用をやめるべきですか?答えはノーで