Hacker Memanfaatkan API Stripe Melalui Google Tag Manager
Baru-baru ini, dunia siber dibuat heboh oleh laporan yang menyebutkan kalau para penjahat cyber telah menjadikan Stripe sebagai platform penyimpanan malware. Dilansir dari penelitian yang dilakukan oleh Sansec, mereka menemukan kampanye yang mengincar informasi pembayaran pengguna saat berbelanja online.
Menurut Sansec, para penyerang berhasil membobol beberapa situs toko menggunakan Magento/Adobe Commerce dan menambahkan kontainer Google Tag Manager (GTM) yang berbahaya. Saat pengunjung masuk ke situs tersebut dan melakukan transaksi, GTM ini memanggil API Stripe untuk mencuri informasi sensitif.
Begitu pengunjung memasuki situs yang terinfeksi, browser mereka bakal otomatis memuat kontainer GTM dari server Google. Saat mencapai tahap checkout, kode GTM mengirimkan permintaan ke API Stripe. GTM sendiri adalah alat gratis yang memudahkan pemilik situs dalam mengelola pelacakan dan analitik tanpa harus mengubah kode situs langsung.
Karena GTM cukup umum digunakan, pemanggilan kode dari googletagmanager.com terlihat sangat normal dan tidak mencurigakan. Namun, di balik itu semua, GTM sebenarnya mengambil data pelanggan Stripe yang berada di kontrol para penyerang. Dalam data tersebut terdapat potongan JavaScript berbahaya yang akan diunduh oleh situs, kemudian dirakit menjadi sebuah skrip yang berfungsi, dan dijalankan di dalam browser. Ini mengubah Stripe menjadi semacam ‘celengan’ untuk penyimpanan kode malware.
Mencuri Informasi Pembayaran
Setelah skrip ini aktif, ia mulai “mengawasi” halaman checkout. Ketika korban memasukkan detail kartu mereka, skrip akan menyalin semuanya—mulai dari nomor kartu, CVV, nama, alamat, hingga informasi penting lainnya. Namun, sebelum dikirim ke penyerang, malware ini akan menggabungkan semua informasi yang dicuri menjadi satu string, mengenkripsi dengan teknik XOR, dan menyimpan hasilnya di browser secara lokal.
Selanjutnya, malware ini menciptakan pelanggan Stripe palsu dan membagi data yang dicuri menjadi dua bagian. Mereka akan membuat objek pelanggan baru di akun Stripe penyerang dan meng-upload informasi curian tersebut. Proses ini berjalan tanpa terdeteksi pada umumnya, berkat pengaturan default yang membolehkan domain api.stripe.com, sehingga skimmer ini bisa lolos dari kebijakan keamanan konten dan filter jaringan yang biasanya akan menandai lalu lintas ke domain yang tidak dikenal.
Kita harus sadar, kehadiran teknik-teknik seperti ini adalah bukti bahwa ancaman digital dapat merugikan banyak orang dalam diam. Keberadaan malware dalam proses pembayaran dan ecommerce semakin memperlihatkan pentingnya pengguna untuk selalu waspada dan mengetahui langkah-langkah perlindungan yang bisa diambil.
Perkembangan seperti ini jadi pengingat, ketika berbelanja online, keamanannya tidak boleh diremehkan. Apalagi dengan semakin banyaknya tipe serangan yang dihadapi pengguna setiap harinya. Pastikan untuk menggunakan situs yang tepercaya dan melakukan pemeriksaan keamanan saat memasukkan informasi sensitif. Jangan sampai menjadi korban dari aksi kejahatan siber yang merugikan.
