Kampanye Magecart Canggih: Peretas Manfaatkan API Stripe untuk Sembunyikan Data Kartu Kredit Curian

Sebuah kampanye kejahatan siber pencurian data kartu kredit (Magecart/card-skimming campaign) varian baru ditemukan memanfaatkan infrastruktur API resmi milik Stripe dan Google Tag Manager (GTM). Teknik manipulasi ini tergolong sangat cerdik karena peretas menggunakan domain tepercaya untuk menyusupkan skrip berbahaya sekaligus menjadikannya sebagai tempat penampungan (storage backend) data kartu kredit hasil jarahan.

Anomali taktik ini pertama kali diidentifikasi oleh tim peneliti keamanan dari firma keamanan e-commerce, Sansec. Mereka menemukan bahwa seluruh lalu lintas digital berbahaya ini mengalir mulus melewati penapis keamanan jaringan karena memanfaatkan domain googletagmanager.com dan api.stripe.com yang secara bawaan (default) selalu dipercayai oleh mayoritas toko daring di seluruh dunia.

Mekanisme Kerja Skimmer: Memanfaatkan Celah Kebijakan CSP Toko Online

Secara umum, toko online modern menerapkan aturan Content Security Policy (CSP) dan filter jaringan yang ketat untuk memblokir pengiriman data ke domain asing yang tidak dikenal. Namun, karena Stripe adalah platform pemroses pembayaran sah yang digunakan toko tersebut, domain api.stripe.com otomatis masuk dalam daftar putih (whitelist).

Berikut adalah kronologi bagaimana skrip skimmer tersebut bekerja mengecoh sistem:

1. Penyusupan via Google Tag Manager: Peretas menanamkan kode berbahaya ke dalam kontainer GTM yang terlihat sah. Skrip ini akan otomatis dimuat dan dieksekusi di setiap halaman toko online yang memasang GTM tersebut.
2. Ekstraksi Payload dari Metadata Stripe: Ketika mendeteksi konsumen telah mencapai halaman pembayaran (checkout page), skrip GTM akan memicu permintaan API ke akun Stripe milik penyerang, secara spesifik mengincar data rekam pelanggan (customer record) tertentu—dalam kasus yang dianalisis berkode cus_TfFjAAZQNOYENR.
3. Penyusunan Ulang Kode: Di dalam kolom metadata rekam pelanggan Stripe palsu tersebut, peretas menyembunyikan potongan kode JavaScript biner. Skrip GTM akan membaca metadata tersebut, menyusunnya kembali menjadi kode utuh, lalu mengeksekusinya di peramban korban menggunakan fungsi new Function().

Target Operasi dan Taktik Penyelundupan Eksfiltrasi Data

Serangan card-skimmer ini secara agresif menargetkan halaman pembayaran pada platform e-commerce berbasis Magento / Adobe Commerce. Skrip tersebut akan merekam dan menyalin seluruh data sensitif yang diketik oleh konsumen saat bertransaksi, meliputi:

• Nomor kartu kredit, tanggal kedaluwarsa, dan kode CVV.
• Nama lengkap pemegang kartu.
• Alamat penagihan (billing address).
• Alamat email dan nomor telepon aktif.

Untuk menghindari deteksi dini oleh sistem pemantau lalu lintas data, peretas tidak langsung mengirimkan data curian tersebut seketika itu juga. Seluruh informasi yang didapat akan digabungkan menjadi satu string tunggal, disamarkan (obfuscated) menggunakan operasi logika XOR, dan disimpan sementara di penyimpanan lokal (localStorage) komputer korban.

Mengubah Akun Stripe Menjadi Gudang Data Curian

Proses penjarahan data dilakukan melalui rutinitas terpisah yang berjalan setiap satu menit sekali. Skrip akan memecah enkripsi blob data curian tersebut menjadi dua bagian, lalu memicu perintah API untuk membuat objek data pelanggan baru (new Stripe customer object) di dalam akun Stripe milik peretas.

Data kartu kredit yang dicuri kemudian disisipkan ke dalam kolom metadata akun pelanggan baru tersebut. Dengan kata lain, setiap satu kartu kredit milik korban yang bocor akan menjelma menjadi satu data profil “pelanggan palsu” di dasbor Stripe milik peretas.

Setelah data sukses disalin ke server Stripe, file penyimpanan lokal di komputer korban akan langsung dihapus bersih (wiped) guna menghilangkan jejak forensik dan mencegah terjadinya unggahan ganda.

Varian Serangan Menggunakan Google Firestore

Dalam investigasi lanjutan, Sansec juga menemukan varian sekunder dari kampanye serangan yang sama. Pada versi ini, peretas mengganti peran Stripe dengan Google Firestore, sebuah layanan basis data berbasis awan (cloud database).

Untuk mengelabui tim IT, peretas mengambil payload serangan dari dokumen Firestore bernama tracking/captcha yang terdaftar di dalam proyek buatan bernamakan braintree-payment-app. Penamaan dokumen dan proyek ini sengaja dipilih agar terlihat seperti lalu lintas data perlindungan bot (CAPTCHA) dan sistem pembayaran sah Braintree. Pada varian ini, data kartu kredit curian disimpan sementara dalam kunci lokal bernama _d_data_customer_.

Berdasarkan analisis forensik pada stempel waktu pembuatan akun, rekam pelanggan Stripe pertama yang berisi instruksi skimmer ini diketahui telah dibuat sejak 24 Desember 2025. Hal ini mengindikasikan bahwa kampanye pencurian data tersembunyi ini kemungkinan besar telah aktif beroperasi sejak akhir tahun lalu.

Langkah Perlindungan Bagi Konsumen

Metode serangan berbasis Magecart yang menunggangi domain resmi seperti ini sangat sulit diidentifikasi secara kasat mata oleh konsumen biasa saat berbelanja. Sebagai langkah langkah mitigasi preventif untuk melindungi dana perbankan, para konsumen sangat disarankan untuk:

1. Menggunakan Kartu Virtual Sekali Pakai (Virtual Cards): Manfaatkan fitur kartu debit/kredit virtual yang disediakan oleh aplikasi perbankan modern, di mana Anda dapat mengatur batas limit saldo belanja yang ketat atau menggunakan nomor kartu yang otomatis hangus setelah satu kali transaksi digunakan.
2. Memanfaatkan Metode Pembayaran Pihak Ketiga Tepercaya: Jika tersedia, prioritaskan bertransaksi menggunakan metode dompet digital terintegrasi seperti Apple Pay, Google Pay, atau PayPal yang tidak mengharuskan Anda mengetik nomor kartu kredit secara manual pada kolom formulir checkout toko online.

Sumber: Sansec Ecommerce Security Research