你以为自己在正规网店下单付款，其实你的卡号、有效期、CVV码已经通过一个隐藏的“窗户”飞到了黑客手里。

这不是电影情节，而是一场真实发生、持续超过两年、横跨至少12个国家的大规模网络盗窃行动。

近日，网络安全公司 ANY.RUN 披露了一个长期活跃的Magecart黑客攻击事件。自2024年初以来，攻击者利用超过100个伪装成正常服务的恶意域名，悄悄入侵了大量电商网站，专门在用户结账时窃取信用卡信息。

这场攻击主要针对使用 WooCommerce 系统的网店（一种常见的建站工具）。目前已确认至少17家网店在2024年2月至2025年4月间被感染。受害店铺遍布英国、丹麦、法国、西班牙、美国等地，其中西班牙受影响最严重——因为黑客特别擅长伪造当地广泛使用的Redsys支付页面。

令人意外的是，虽然网店是黑客的“入口”，但真正吃亏的是银行和持卡人。黑客盗走的卡信息会被用来进行各种欺诈交易，最终由银行赔付或由消费者自己承担损失。等店铺发现并清除恶意代码时，你的卡可能已经被刷了很多笔。

攻击手法：像“套娃”一样层层伪装

整个盗窃过程非常隐蔽，普通人几乎不可能察觉：

1. 偷偷潜入店铺代码

黑客先攻破一家网店，在它的正常脚本文件中插入一小段看似无意义的代码。这段代码本身不偷东西，但它会像一个“信使”，悄悄联系外部服务器。

2. 用假域名迷惑安全检查

信使会从几十个备用域名中挑选一个可用的，这些域名看起来都很“正经”，比如 jquerybootstrap.com、assetsbundle.com —— 看起来像常见的网页工具库，实际上全是黑客控制的。

3. 等待你进入付款页面

一旦你选好商品、点击“去结算”，恶意脚本就会立刻激活。它会**隐藏掉店铺原本的支付按钮**，然后在同一个位置覆盖上一个**伪造的支付界面**。

4. 假界面比真的还像真的

这个假页面能完美模仿Redsys、PayPlug等正规支付服务商的样式，而且支持英语、西班牙语、阿拉伯语、法语等多种语言。它甚至会把真正的支付服务商域名（如 sis.redsys.es）也拉进来增加可信度。你输入的卡号、有效期、CVV码，全都会被实时捕获。

5. 信息通过“暗窗”传走

不像普通网页提交表单那样容易被发现，黑客使用了一种叫WebSocket的通信技术。你可以把它想象成一个长期打开的暗窗，数据像纸条一样悄悄递出去，传统安全设备很难察觉。盗走的卡信息最终被发往一个伪装成 redsysgate.com 的控制服务器。

不止偷卡，还骗你装手机病毒

更狡猾的是，如果你用手机访问被感染的网店，黑客还会弹出一个提示：“下载我们的App，立享折扣！”—— 实际上是一个安卓手机病毒文件（APK）。它还会教你如何打开手机“允许安装未知来源应用”的开关。这个诱导页面同样支持四种语言，显然是有组织、有预谋的全球性犯罪。

对于普通消费者，目前没有百分百的防护手段，但可以留意几点：

• 尽量使用信用卡的“临时虚拟卡号”功能（部分银行提供），或选择 Apple Pay、Google Pay 等令牌化支付方式，避免真实卡号暴露。

• 付款前多看一眼网址，如果跳转到奇怪的域名或页面样式突然变得粗糙，立即停止交易。

• 开启银行交易短信/微信提醒，发现异常扣款立刻联系银行冻结卡片。

对于网店店主，建议联系技术人员检查网站是否引入了来历不明的外部脚本，并更新所有插件和核心系统。

资讯来源：本次事件基于 ANY.RUN 安全团队于2025年12月发布的公开研究报告《Magecart Hackers Uses 100+ Domains to Hijack eStores Checkouts and Steal Card Data》整理撰写。原文详细披露了攻击者的基础设施、技术手法及受影响区域。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！