Egy pixeles képpel lopják a banki adatokat a csalók

Szerző: Biztonságportál | Utolsó módosítás: 2026.04.13.

Egy pixeles képekkel érik el a csalók, hogy egyes webáruházak vásárlóitól értékes bankkártya adatokat lovasítsanak meg.

A Sansec biztonsági cég szakemberei olyan károkozásokra figyeltek fel, amelyek jelenleg a Magento és az Adobe Commerce webáruházakat sújtják. Az elkövetők a nemrégen napvilágra került PolyShell sérülékenységet igyekeznek a saját javukra fordítani, egy igen trükkös módszerrel észrevétlenül megszerezni a vásárlók bankkártya adatait.

A szóban forgó támadásokat világszerte már több mint 100 webáruház esetében lehetett kimutatni. Ezen incidensek kivizsgálása során a szakértők arra a megállapításra jutottak, hogy az elkövetők alapvetően egy mindössze egy pixeles SVG kép sérülékeny weboldalakba való befecskendezésével érik el a céljukat.

A speciálisan összeállított SVG állományt az érintett webáruház kompromittált weboldalának betöltésekor (onload esemény hatására) egy JavaScript "veszi kezelésbe". Ez egy base64 dekódolást követően végrehajtja az állományban lévő utasításokat, és gondoskodik arról, hogy amikor a felhasználó a kosárának kifizetése mellett dönt, akkor megjelenjen egy felugró ablak. Ebben látszólag az adott webáruház kéri be a bankkártya adatokat. A valóságban azonban az itt megadott adatok (egy Luhn ellenőrzést követően) a csalókhoz kerülnek kódolt formában.

A szakemberek felhívták a figyelmet arra, hogy a csalók mostani trükkje azért is nehezen detektálható, mert az SVG-s trükk miatt nincs szükség külső scriptek meghívására, amiket a különféle védelmi megoldások sok esetben figyelnek.

A Sansec szerint az ilyen típusú károkozások ellen elsősorban a webáruházak tulajdonosai, üzemeltetői, fejlesztői tehetnek a legtöbbet például azáltal, hogy rendszeresen integritásvizsgálatokat végeznek, illetve ellenőrzik a kéretlen SVG-állományokhoz kötődő kódok jelenlétét. Mindezek mellett nagyon lényeges, hogy amint megjelenik a Magento, illetve az Adobe Commerce frissítése, akkor az mihamarabb kerüljön telepítésre. (Jelenleg még nem érhető el minden verzióhoz a PolyShell ellenszere.)

Iratkozzon fel hírlevelünkre!

További hírek

Az AI fokozza a belső támadások kockázatát

Mit lehet tudni az Európai Bizottság elleni kibertámadásról?

Hamvaiból kelt életre az adathalászok nagy kedvence

Adathalászat indult a Microsoft Azure riasztásaival

Riasztások

4

Chrome sebezhetőségek

A Google az utóbbi időszak legnagyobb biztonsági frissítését adta ki a Chrome webböngészőhöz.
4

OpenSSL biztonsági hibák

Az OpenSSL-ben nyolc biztonsági hibát kell javítani.
3

Junos OS sebezhetőségek

A Juniper két biztonsági frissítést adott ki a Junos OS-hez.
3

SonicWall biztonsági frissítés

A SonicWall az SMA 1000 kapcsán több biztonsági hibát javított.
4

FreeRDP sérülékenységek

Tucatjával érkeztek biztonsági javítások a FreeRDP-hez.
4

Android biztonsági javítások

A Google az áprilisi biztonsági frissítései révén két sebezhetőséget szüntetett meg
4

GLPI sérülékenységek

A GLPI fejlesztői öt biztonsági rést foltoztak be.
3

Flask biztonsági hiba

A Flask egy biztonsági hiba miatt kapott frissítést.
4

FortiClient EMS nulladik napi hiba

Elkezdődött a FortiClient EMS egyik súlyos sérülékenységének kihasználása a kibertérben.
3

WatchGuard Fireware OS patch

A WatchGuard Fireware OS-hez egy újabb biztonsági javítás vált elérhetővé.

	ESET NOD32 Antivirus 1 eszköz 1 év Diákkedvezmény
	7343 Ft

	ESET Home Security Essential 1 év 5 eszköz Pedagógus kedvezmény
	20293 Ft

	F-Secure Total 1 év 3 eszköz
	17990 Ft

Partnerhírek

Apple Pay-csalások: hat gyakori módszer, amire érdemes figyelni

Az Apple Pay az egyik legnépszerűbb mobilfizetési szolgáltatás világszerte: becslések szerint több százmillió felhasználóval és évente több ezermilliárd dollárnyi tranzakcióval.

Amikor az üzleti kapcsolatépítés kockázattá válik

A szakmai kapcsolatépítés egyik legfontosabb online terepe, a LinkedIn ma már több mint egymilliárd felhasználót köt össze világszerte.

További partnerhírek >>