黑客针对电商网站下手，从中窃取买家的交易数据屡见不鲜，但如今攻击手法出现变化，而能进一步突破相关防护机制。

根据专精上网安全的资安业者SlashNext观察，有人暗中于俄罗斯网络犯罪论坛向黑客兜售名为PhishWP的恶意WordPress插件程序，可用来创建几可乱真的付款网页，从而窃取购物者的信用卡号、浏览器中继数据，以及其他个资。

攻击者可入侵一般的WordPress网站，或是自行建置网站来「加装」这项插件，然后将插件程序伪装成支付闸道，引诱购物者输入付款数据。但与一般作案工具不同的是，此插件能将收集到的数据，直接通过特定的Telegram频道即时发送到攻击者手上。

研究人员也提及PhishWP具备进阶功能，例如能在购物者结帐进行3-D安全验证（3-D Secure，3DS）的过程里，窃取动态密码（OTP）。一旦攻击者取得这种验证码，就能假冒信用卡持卡人，进而让他们盗刷的交易看起来像是持卡人所为。

值得留意的是，在攻击者得逞后，受害者还会收到PhishWP寄出的电子邮件，误导他们以为在线交易已经成功，但在此同时，攻击者可能进一步运用得手的数据，或是将其出售牟利。