摘要：安全公司 Sansec 披露，一家全球前十的大型连锁超市电商网站被植入数字支付窃取器（payment skimmer）。该集团年营收约1000亿欧元，在25个国家拥有超过1万家门店，其部分电商系统基于 PrestaShop 构建。

网络攻击

安全公司 Sansec 披露，一家全球前十的大型连锁超市电商网站被植入数字支付窃取器（payment skimmer）。该集团年营收约1000亿欧元，在25个国家拥有超过1万家门店，其部分电商系统基于 PrestaShop 构建。

研究人员称，恶意代码最早于2月16日被发现，并多次尝试通过邮件、security.txt 以及 LinkedIn 联系企业 CISO，但在数日后窃取器仍然在线运行。

此次攻击采用一种被称为“双击式窃取”（double-tap skimming）的技术。随着越来越多商户使用符合 PCI-DSS 标准的托管支付页面，攻击者不再直接拦截真实支付表单，而是在结账页面插入一个高度仿真的假支付界面。用户第一次输入卡号、有效期和 CVV 时，数据已被窃取；随后页面无缝跳转至真正的支付页面，用户误以为第一次失败，再次输入信息完成支付。整个过程几乎无感。

技术分析显示，该窃取器基于可复用框架，兼容 WordPress、Magento、PrestaShop、OpenCart 等主流电商系统。脚本仅在结账页面激活，并利用 localStorage 保存数据，监听所有输入框及动态下拉组件（如 Select2、Vue Select），捕获 cardNum、exp、cvv 等字段。数据被 Base64 编码后，通过伪装成“分析接口”的 GET 请求外传至恶意域名 stylemercedes.top。

为了避免被商家发现，脚本会检测访问者是否为管理员账号，如检测到后台身份即终止执行。同时还具备“强制隐藏”机制，即便网站自身脚本尝试恢复原始支付页面，恶意覆盖层仍会保持生效。数据外传后，代码会删除自身痕迹、恢复原页面，并自动触发合法支付流程。

研究人员指出，生成式 AI 正在加速此类攻击。攻击者可以快速生成多语言、品牌一致的支付界面覆盖层，使其在不同国家市场看起来完全“合法”。

这一事件再次表明，电商风险已从“服务器入侵”转向“前端支付流程劫持”。即便商户采用合规的第三方托管支付，只要前端页面被篡改，用户仍可能在不知情情况下泄露卡信息。对于消费者而言，使用一次性虚拟卡或预充值卡进行线上支付，是降低风险的有效方式。

随着攻击工具框架化、自动化，支付页面已成为当前电商生态中最具价值的攻击入口之一。

网罗圈内热点 专注网络安全

支持「安全圈」就点个三连吧！

来源：小顾科技论