Kart Mevcut Değil Dolandırıcılık , Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar
Dijital Kaydırma Saldırıları, Ödeme Kartı Verilerini Çalmak İçin Sahte Ödeme Formlarını Ele Geçiriyor
Mathew J. Schwartz (euroinfosec) •
13 Ocak 2026
Bir alana bir indirimden, satın almayla birlikte verilen bir hediyeden veya tatil indiriminden farklı olarak, dijital tarama saldırıları yoluyla çalınan ödeme kartı verileri, çevrimiçi ticaretin asla kaybolmayan bir işaretidir.
Ayrıca bakınız: 2024 Dolandırıcılık Analizleri Raporu
Araştırmacılar bu hafta, popüler WooCommerce platformunu çalıştıran çevrimiçi mağazalara sızmak için tasarlanmış yeni bir saldırı komut dosyası da dahil olmak üzere, e-ticaret mağazalarından kart numaralarını çalan uzun süredir devam eden aktif bir kampanyanın ayrıntılı bir incelemesini yayınladılar. Araştırmacılar, popüler, bulut tabanlı ConnectPOS satış noktası yazılımı hakkında ayrıca bir uyarıda bulundu; bu yazılım, kod depolarını kamuya açık bırakarak müşterileri tedarik zinciri saldırısı riskiyle karşı karşıya bıraktı.
Dijital kayma saldırıları aynı zamanda Magecart saldırıları olarak da bilinir. Bu isim, müşterilerin Magento e-ticaret yazılımına girdiği ödeme kartı verilerini “gözden geçirmek” için kötü amaçlı komut dosyaları kullanma taktiğine öncülük eden gruptan geliyor. Tehdit istihbaratı şirketi Recorded Future’daki araştırmacıların bildirdiğine göre, bu tür saldırılar artık birçok farklı türde e-ticaret yazılımını hedef alıyor ve yaygın olmaya devam ediyor; 2024’te 11.000 farklı e-ticaret sitesi mağdur oluyor; bu rakam 2023’e göre üç kat artış gösteriyor (bkz.: Dolandırıcılık İzlemesi: E-Skimmer’lar ve Dolandırıcı E-Ticaret Siteleri Hala Etkileniyor).
Siber güvenlik firması Silent Push, Salı günü Ocak 2022’de başlamış gibi görünen böyle bir kampanyanın ayrıntılarını verdi. O zamandan beri, birden fazla e-ticaret mağazasına, müşteriler ödeme yapmaya çalıştığında ödeme kartı verilerini almak için tasarlanmış komut dosyaları bulaştırdı ve birden fazla araştırmacı tarafından takip edildi.
Silent Push’un araştırması, saldırganlar tarafından ödemeler için Stripe kullanan WooCommerce web sitelerinden kart verilerini çalmak için tasarlanmış bir saldırı komut dosyasını ortaya çıkardı. Saldırganların yoğun şekilde gizlenmiş JavaScript’i, ödeme işlemi sağlayıcıları American Express, Diners Club, Capital One’s Discover, JCB, Mastercard ve UnionPay’e bağlı kartları tespit etmek ve hedeflemek için tasarlanmıştır. Komut dosyası, müşteri kart ayrıntılarını girdiğinde tetiklenir.
Silent Push, “Kayırıcı daha sonra bu bilgiyi giriş alanını doğru kart markasının görüntüsüyle otomatik olarak uyarlamak için kullanıyor ve giriş formunun daha da meşru görünmesini sağlıyor” dedi. Girdi verileri, Avrupa Birliği tarafından geçen yıl yaptırımlara konu olan Stark Industries’den alınan alanlar da dahil olmak üzere çeşitli alanları kullanan saldırganlara yönlendiriliyor.
Araştırmacılar, komut dosyasının meşru Stripe ödeme formunu bastırdığını ve kötü niyetli bir alternatifin yerine geçtiğini söyledi. Bir müşteri ödeme ayrıntılarını girdikten sonra komut dosyası, aynı müşteri için tekrar yürütülmeyeceğinden emin olmak için bir değişken ayarlar, meşru Stripe ödeme formunu yükler ve gerçek formun “ödeme” düğmesini otomatik olarak tıklar.
Araştırmacılar, müşterinin yasal formu doldurmaması nedeniyle bir hata mesajı döndürdüğünü ve bunun “kurbanın ödeme ayrıntılarını yanlış girmiş gibi görünmesine neden olduğunu” söyledi.
Bir kurbanın böyle bir saldırıyı fark edip edemeyeceği belli değil. Araştırmacılar, “Teknik olmayan bir kurbanın bu saldırıyı tespit etmesi için tek şans, ödeme yapmaya çalışırken bu hatayı fark etmesi ve formu doldurduktan sonra bilgilerinin kaybolduğunu görmesi olacaktır” dedi.
Bu kampanyanın kurbanların WooCommerce platformlarını nasıl etkilediği net değil. Silent Push’un tehdit istihbaratı direktörü Kasey Best, Information Security Media Group’a şöyle konuştu: “Şu anda kodun nasıl yerleştirildiğine dair herhangi bir bilgimiz yok. Buna kesin bir cevap, ele geçirilmiş sunuculardan birine ilişkin bilgiler gerektirecektir ki biz buna sahip değiliz.”
Sansec’in baş güvenlik araştırmacısı Daniel Sloof, “İhlallerin büyük çoğunluğu Adobe Commerce, Magento ve WordPress gibi temel platform kodlarındaki yamalanmamış güvenlik açıklarından veya savunmasız üçüncü taraf uzantılarından kaynaklanıyor” dedi.
“Silent Push’un raporunda açıklanan tehdit aktörü birden fazla platformu hedefliyor; CosmicSting ve SessionReaper, Adobe Commerce/Magento için en belirgin enfeksiyon vektörleridir” dedi (bkz.: Toplu Perakende Saldırıları Adobe Commerce ve Magento Mağazalarını Etkiliyor).
Bu iki güvenlik açığından yakın zamanda keşfedilen SessionReaper, Ağustos 2025’te Adobe Commerce ve Magento’nun tüm sürümlerinde keşfedilen ve CVE-2025-54236 olarak takip edilen, müşteri hesaplarını ele geçirmek ve uzaktan kod yürütmek için kullanılabilen bir hatayı ifade ediyor.
SessionReaper’ı “tarihindeki en ciddi Magento güvenlik açıklarından biri” olarak tanımlayan Sansec, Ekim 2025’in sonlarında, yani yamadan altı hafta sonra mağazaların yalnızca %38’inin düzeltmeyi yüklediğini kaydetti. O zamana kadar saldırganlar, tüm savunmasız mağazaların %81’ini araştıran otomatik saldırıları da kullanıyordu.
Tedarik Zinciri Riski
Uzmanlar, çok daha nadir de olsa bir başka potansiyel enfeksiyon vektörünün, tedarik zinciri saldırısı gerçekleştirmek için doğrudan geliştiricileri ve onların kod tabanlarını hedef alan saldırganları içerdiğini söyledi. Ortaya çıkan risk ciddidir. Tek bir başarılı saldırı, yüzlerce veya binlerce müşteriyi çökertebilir.
Sansec Pazartesi günü, dünya çapında 12.000’den fazla kuruluş tarafından kullanılan bulut tabanlı ConnectPOS satış noktası yazılımı için GitHub kod deposunu içeren ve kod deposunu dört yıldan fazla bir süre boyunca kamuya açık hale getiren yeni bir tedarik zinciri saldırı riski konusunda uyardı.
Merkezi Hanoi, Vietnam’da bulunan ConnectPOS’un müşterileri arasında Indiana Üniversitesi, Tayvanlı çok uluslu teknoloji şirketi Asus ve giyim, güzellik ürünleri, mobilya ve bakkaliye gibi çeşitli sektörlerdeki kuruluşlar yer alıyor. Yazılımı BigCommerce, Commercetools, Magento, NetSuite, Shopify ve WooCommerce dahil olmak üzere çeşitli e-ticaret platformlarıyla entegre olur.
Sansec, ConnectPOS satış noktası yazılımının, ilk olarak Eylül 2021’de yayınlanan kamuya açık belgelerde GitHub Kişisel Erişim Tokenını veya PAT’i açığa çıkardığını söyledi. Satıcının, ConnectPOS’u sorunu keşfedip 6 Ocak’ta uyardıktan sonra, tokenı aynı gün iptal ettiğini söyledi.
Teşhir, ConnectPOS’un müşteriler için ürün işlevlerine nasıl erişim sağladığının izini sürdü. Sansec, 2021’de “GitLab dağıtım belirteçlerinden GitHub PAT kimlik doğrulamasına geçtiklerinde, müşterilerin modülleri indirmesine olanak sağlamak için genel belgelerine bir erişim belirteci eklediler” dedi.
ConnectPOS, PAT’ı salt okunur erişim verecek şekilde ayarlamak yerine yanlışlıkla tam erişim sunacak şekilde ayarladı repo Sansec, kullanıcılara tam erişim verildiğinde, ödeme işlemlerinden envanter yönetimine kadar her şeyi kapsayan 59 deponun idari düzeyde kontrolünün sağlanacağını söyledi.
Sonuç olarak saldırganlar, kötü amaçlı işlevler sunmak için modülleri Truva atı haline getiren bir tedarik zinciri saldırısı gerçekleştirmiş olabilir.
GitHub’un gizli tarama adı verilen ve bu tür sorunların tespit edilmesine ve ortaya çıkmasının önlenmesine yardımcı olmak için tasarlanmış yerleşik işlevsellik sunmasına rağmen sorun devam etti. GitHub, etkinleştirildiğinde bu özelliğin “API anahtarları, şifreler, belirteçler ve diğer sırlar gibi hassas bilgilerin yanlışlıkla deponuza eklenmesini tespit etmeye ve önlemeye yardımcı olduğunu” söyledi.
Sansec, genel depolar için varsayılan olarak etkin olmasına rağmen, ücretli bir özellik olarak yalnızca ConnectPOS tarafından kullanılan özel depolar için mevcut olduğunu ve etkinleştirilmiş görünmediğini söyledi.
ConnectPOS, müşterilerini uyarıp uyarmadığı, kurcalama belirtileri aramak için tüm kodlarda tam bir denetim başlatıp başlatmadığı veya gizli tarama özelliğini etkinleştirip etkinleştirmediği konusunda yorum talebine hemen yanıt vermedi.
Sansec’ten Sloof, “Bizim görüşümüze göre, satıcı liderliğindeki bir denetim, özellikle de dört yılı aşan geniş riske maruz kalma süresi göz önüne alındığında, kesinlikle minimum düzeydedir.” dedi.
“O zaman bile müşteriler tam olarak emin olamaz. Sızan tokenın tamamı onaylandı repo Bu nedenle bir saldırgan, sürümlere geçici olarak müdahale edebilir, bunların konuşlandırılmasına izin verebilir ve daha sonra gizli kalacak şekilde değişiklikleri geri alabilir. Bu nedenle müşterilerimize de kendi denetimlerini yapmalarını önemle tavsiye ediyoruz” dedi.
Tedarik zinciri saldırıları devam eden bir endişe kaynağı olmaya devam ediyor ve enfeksiyondan aylar, hatta yıllar sonra ortaya çıkabiliyor.
Sansec geçen yıl Tigren, Magesolution ve Meetanshi satıcıları tarafından geliştirilen 21 arka kapılı Magento uzantısını 500 ila 1000 çevrimiçi mağazanın nasıl çalıştırdığını ayrıntılı olarak açıkladı. Saldırılar, saldırganların Magecart tarzı komut dosyalarını yürütmek ve ödeme kartı ayrıntılarını ve diğer kişisel verileri yakalamak için tasarlanan yazılıma kötü amaçlı mantığı ilk kez yerleştirmesinden altı yıl sonra gerçekleşti (bkz: Etkinleştirilen Magento Arka Kapısı 1.000’e Kadar Çevrimiçi Mağazaya Ulaşıyor).