Image by Boitumelo, from Unsplash
Hackerlar Caritas Yardım Sitesini Hedef Alıyor
Okuma süresi: 2 dk.
Son Güncellenen Apr 28, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Bir siber saldırı, büyük bir Katolik hayır kurumu olan Caritas İspanya’nın 17 web sitesini vurdu ve bir yıldan fazla bir süre boyunca tespit edilemeden bağışçı kart bilgilerini tehlikeye attı.
Acelesi olanlar için hızlıca özet geçelim:
- Saldırganlar, sahte bağış formlarını kullanarak bağışçı kart bilgilerini çaldı.
- Siteler, popüler bir WordPress eklentisi olan WooCommerce’u kullandı.
- Saldırının altyapısını destekleyen 60’tan fazla sahte alan adı bulunmaktadır.
Saldırganlar, kullanıcılardan hassas bilgileri çalmak için bir web sitesine kötü amaçlı kod yerleştirilen bir yöntem olan web taramasını kullandılar. Bu durumda, taramacı, gerçeğini taklit eden sahte bir bağış formu oluşturdu ve sessizce kişisel ve ödeme verilerini – isimler, adresler, kart numaraları, CVV ve daha fazlasını – yakaladı.
“Bu kampanya, gözlemlenen daha geniş bir trendi pekiştiriyor: web kazıma enfeksiyonları artan bir şekilde modüler kitler tarafından yönlendiriliyor,” diye yazdı Jscrambler’daki araştırmacılar bu hack’i belirledi. Bu kitler, hackerların çeşitli araçları ve kanalları kolayca karıştırarak çalınan verileri teslim etmelerine ve toplamalarına olanak sağlar.
Araştırmacılar, enfekte olan web sitelerinin tamamının WooCommerce tarafından desteklendiğini, WordPress’teki online ödemeler için popüler bir eklenti olduğunu söylüyorlar. Saldırının iki bölümü vardı: ilk olarak, hackerların sunucusuyla iletişim kurmak için site anasayfasına küçük bir gizli kod enjekte edildi.
Ardından, ikinci aşama senaryosu gerçek olanın üzerine sahte bir “Devam” düğmesi ekledi. Kullanıcılar bunu tıkladığında, Santander bankasının resmi ödeme portalı gibi görünen sahte bir online ödeme formu gösterildi.
Verileri yakaladıktan sonra form, dolandırıcılığın fark edilmesini zorlaştırmak için kısa bir süre yükleme döngüsü gösterdi ve bağışçıyı meşru ödeme sitesine yönlendirdi.
“Hedef göz önüne alındığında bu durum özellikle endişe verici,” diye belirtti Jscrambler. “Caritas, hassas topluluklara yardım etmeye adanmış bir kar amacı gütmeyen bir kuruluş. Ancak, saldırganlar, skimming operasyonlarını […] bir yıldan fazla süreyle sürdürmekte bir sakınca görmemişler.”
Enfeksiyon ilk olarak 16 Mart 2025’te keşfedildi ve etkilenen web siteleri, Jscrambler’ın ulaştığı Nisan ayının başlarında bakım için çevrimdışı alındı.
11 Nisan’a gelindiğinde, zararlı kod sonunda kaldırıldı. Ancak, hackerlar bu süre zarfında taktiklerini değiştirdiler, algılanmayı önlemek için scripti değiştirdiler.
Araştırmacılar ayrıca bu grubun diğer web sitelerini hedef aldığına dair işaretler buldular, veri dağıtımı ve toplama için 60’dan fazla sahte alan adı kullandılar. Bunların birçoğu aynı IP altında barındırılıyordu, bu da merkezi bir kurulumu işaret ediyordu. Jscrambler, Caritas’ın bu ihlal hakkında resmi bir açıklama yapmadığını bildirdi.
Önceki Hikâye
Son makaleler 
