观察到针对运行Magento 2.1.x和2.2.x版本的在线商店的攻击

ZDNet获悉，黑客团体和在线欺诈者正在滥用Magento在线商店的功能，以测试被盗借记卡和信用卡号的有效性。

该技术由攻击者尝试使用被盗的支付卡进行数百次$ 0交易以检查卡的有效性。

这些交易是针对支持PayPal Payflow Pro集成的Magento商店执行的。

PayPal Payflow Pro集成是Magento商店提供的一种付款选项，允许在线商店通过PayPal商家(企业)帐户处理卡交易。

许多商店之所以使用它，是因为它允许他们使用嵌入在其网站上的结帐表格通过PayPal接收付款，而用户无需离开商店即可在PayPal门户上输入详细信息。

在野外发现滥用行为

根据Magento团队发布的安全公告，并由ZDNet看到，黑客正在滥用Magento 2.1.x和2.2.x版本中包含的PayPal Payflow Pro集成，以测试被盗卡的有效性。

骗子们不会使用被盗的卡来下单订购真实产品，而只是发起一笔$ 0大小的交易，看看它是否返回任何错误-并间接确认卡的详细信息有效。

据认为，黑客是从所谓的“刷卡论坛”(地下网络犯罪论坛)购买这些卡的，那里的黑客和ATM掠夺组织正在出售卡的详细信息。

这些“ 卡转储 ”中的许多经常包含旧的和过期的付款卡的详细信息，并且购买者经常需要一种方法来验证新购买的卡转储的详细信息，然后再将其用于银行或在线商店的欺诈操作或创建卡克隆。

Magento团队表示，Magento CMS的两个版本都容易受到攻击-自托管的开放源代码版本以及本地或基于云的商业Magento产品。

Magento 2.3.x版本也可能容易受到攻击，但是Magento团队迄今尚未发现任何滥用此类网站的迹象。

保护商店是必须的

Magento团队现在建议店主考虑建立一个Web应用程序防火墙(WAF)或其他反暴力或机器人检测系统，以保护商店免受此类滥用。

商店老板可能会认为他们并没有遭受任何损失，因为黑客只是在测试某些支付卡详细信息，但事实并非如此。

Magento团队警告商店所有者，PayPal在重复进行自动操作后可能会暂停其帐户。他们建议商店所有者联系PayPal，并询问可以为PayPal商业帐户推出的其他反欺诈安全措施。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！