駭客打造惡意WordPress外掛PhishWP，意圖藉由合法網站竊取購物者信用卡資料

駭客針對電商網站下手，從中竊取買家的交易資料屢見不鮮，但如今攻擊手法出現變化，而能進一步突破相關防護機制。

根據專精上網安全的資安業者SlashNext觀察，有人暗中於俄羅斯網路犯罪論壇向駭客兜售名為PhishWP的惡意WordPress外掛程式，可用來建立幾可亂真的付款網頁，從而竊取購物者的信用卡號、瀏覽器中繼資料，以及其他個資。

攻擊者可入侵一般的WordPress網站，或是自行建置網站來「加裝」這項外掛，然後將外掛程式偽裝成支付閘道，引誘購物者輸入付款資料。但與一般作案工具不同的是，此外掛能將收集到的資料，直接透過特定的Telegram頻道即時傳送到攻擊者手上。

研究人員也提及PhishWP具備進階功能，例如能在購物者結帳進行3-D安全驗證（3-D Secure，3DS）的過程裡，竊取動態密碼（OTP）。一旦攻擊者取得這種驗證碼，就能假冒信用卡持卡人，進而讓他們盜刷的交易看起來像是持卡人所為。

值得留意的是，在攻擊者得逞後，受害者還會收到PhishWP寄出的電子郵件，誤導他們以為線上交易已經成功，但在此同時，攻擊者可能進一步運用得手的資料，或是將其出售牟利。