حملة متقدمة لسرقة بيانات الدفع الإلكتروني باستخدام واجهة API قديمة من Stripe

حملة متقدمة لسرقة بيانات الدفع الإلكتروني باستخدام واجهة API قديمة من Stripe
حملة متقدمة لسرقة بيانات الدفع الإلكتروني باستخدام واجهة API قديمة من Stripe
شارك هذا الخبر

حذر باحثو الأمن السيبراني من حملة Web Skimmer متطورة تستخدم واجهة برمجة التطبيقات (API) القديمة الخاصة بمعالج الدفع Stripe للتحقق من صحة بيانات بطاقات الدفع المسروقة قبل إرسالها إلى خوادم المهاجمين.

وقال باحثو Jscrambler – بيدرو فورتونا، ديفيد ألفيس، وبيدرو ماروتشو – في تقرير:
“تُستخدم هذه الطريقة لضمان إرسال بيانات بطاقات صالحة فقط إلى المهاجمين، مما يجعل العملية أكثر كفاءة وصعوبة في الاكتشاف.”

📉 حتى الآن، يُعتقد أن 49 متجرًا إلكترونيًا قد تأثروا بهذه الحملة، فيما أزال 15 موقعًا الشيفرات الضارة بعد اكتشافها. وتشير التقارير إلى أن النشاط مستمر منذ 20 أغسطس 2024 على الأقل.

تفاصيل الهجوم: استغلال واجهة “api.stripe.com/v1/sources”

تم رصد الهجوم لأول مرة في فبراير 2025 بواسطة شركة Source Defense، التي لاحظت استخدام المهاجمين لنقطة النهاية القديمة:

api.stripe[.]com/v1/sources

🔁 هذه الواجهة تُمكن التطبيقات من قبول طرق دفع متعددة، لكنها أُوقفت رسميًا في 15 مايو 2024 لصالح واجهة PaymentMethods API الجديدة.

آلية عمل الهجوم الإلكتروني

تعتمد سلسلة الهجوم على:

  1. تحميل JavaScript ضار من خلال نطاقات خبيثة.

  2. إخفاء نموذج الدفع الحقيقي في صفحات إنهاء الطلب.

  3. عرض نموذج مزيف يحاكي واجهة Stripe الأصلية.

  4. التحقق من البطاقة عبر API القديمة.

  5. نقل البيانات إلى خادم خارجي بصيغة مشفرة Base64.

🎯 يتم حقن هذا السكريبت غالبًا من خلال ثغرات أو إعدادات خاطئة في أنظمة إدارة المحتوى مثل WooCommerce وWordPress وPrestaShop.

كيف يخدع السكريبت المستخدم؟

قال الباحثون إن السكريبت الضار:

  • يخفي نافذة Stripe الأصلية ويضع فوقها نافذة وهمية مشابهة.

  • ينسخ زر “إتمام الطلب” ويخفي الزر الحقيقي.

  • عند إدخال البيانات، يتم عرض رسالة خطأ تطلب من المستخدم إعادة تحميل الصفحة، مما يبعد الشكوك.

🔍 لوحظ أن السكريبت النهائي مصمم خصيصًا لكل موقع مستهدف، مما يشير إلى استخدام أداة توليد مخصصة من قبل المهاجمين.

استهداف خدمات دفع أخرى وإضافة عملات مشفرة

لاحظ الباحثون أيضًا أن بعض السكريبتات:

  • تُقلّد واجهات الدفع الخاصة بـ Square.

  • تضيف خيارات دفع باستخدام العملات الرقمية مثل:

    • بيتكوين (Bitcoin)

    • إيثيريوم (Ethereum)

    • تيثر (Tether)

    • لايتكوين (Litecoin)

تهديد متطور يصعب اكتشافه

🧠 وقالت Jscrambler في الختام:

“تُظهر هذه الحملة مدى تطور تقنيات Web Skimming التي يستخدمها المهاجمون لتفادي الكشف.”
“بالإضافة إلى ذلك، يقوم السكريبت بفلترة البطاقات غير الصالحة تلقائيًا، لضمان سرقة معلومات دقيقة فقط.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 146

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة