Siempre que realizo una compra online y en el carrito de compras soy redireccionado hacia otro lugar, como el sitio web de PayPal, presto mucha atención a la URL que se carga en el navegador por si termino en algún sitio falso.
Nunca he visto que algo así suceda, pero parece que los atacantes están comenzando a infectar sitios legítimos de ecommerce modificando únicamente las páginas de pago o checkout. Los detalles los comentan en el blog de Sucuri y es realmente interesante porque son ataques difíciles de detectar y que pueden resultar muy efectivos para los ciberdelincuentes.
La infección se realiza simplemente con un script que redirecciona hacia páginas falsas (phishing) cuando las víctimas intentan completar el pago en el sitio web del comercio.
<script>document.location="http://example.com/Checkout"</script>
Este script se ha detectado en sitios con WordPress que utilizan el clásico plugin de WooCommerce que permite montar una tienda fácilmente, la línea la colocan en el archivo form-checkout.php que se encuentra en /wp-content / plugins / woocommerce / templates / checkout/
También se ha detectado en otras plataformas como PrestaShop donde colocan el script malicioso en el archivo shopping-cart.tpl.
El ataque puede resultar muy efectivo para los delincuentes ya que los usuarios pueden sentirse confiados de realizar un pago luego de estar navegando por una tienda legítima. Y para los propietarios no es algo sencillo de detectar ya que la redirección se produce únicamente al momento de realizar el pago.
Incluso los delincuentes podrían mejorar el ataque y por ejemplo no redireccionar a todos los usuarios, sino a un pequeño porcentaje para que el propietario del ecommerce no note una baja importante en las ventas que le haga sospechar.
Consejos básicos para los webmasters: mantener todo actualizado, utilizar contraseñas fuertes, no utilizar themes o complementos de origen dudoso y eliminar aquellos que no se estén utilizando. También es útil utilizar complementos de seguridad que puedan chequear la integridad de los archivos importantes del sitio para detectar modificaciones no autorizadas.