Tin tặc thực hiện các cuộc tấn công skimming dựa trên các website bằng cách đưa các mã JavaScript lên các trang web thương mại điện tử bằng cách khai thác các trên các nền tảng như: Magento, PrestaShop, WordPress… hoặc tấn công thông qua các phương thức bảo mật kém.
Các hại sẽ được kích hoạt ngay khi người dùng truy cập đến các trang thanh toán điện tử và tiến hành nhập chi tiết các thông tin của thẻ tín dụng hoặc thẻ ghi nợ để thanh toán cho các đơn hàng. Bất cứ thông tin gì được điền trên trang web đều bị tin tặc đánh cắp và sử dụng để thực hiện mua sắm hoặc bán dữ liệu.
Quy trình của cuộc tấn công skimming
Cách thức tấn công của tin tặc
Các nhà phân tích của Microsoft cho biết, ba phương pháp tấn công đang được tin tặc sử dụng phổ biến là: đưa các mã độc hại gắn kèm hình ảnh, nối chuỗi và giả mạo tập lệnh.
Đối với cách thức đưa các mã độc hại gắn kèm hình ảnh, tin tặc thực hiện tải các hình ảnh có chứa mã độc hại lên các máy chủ đích được ngụy trang dưới dạng một biểu tượng yêu thích. Tuy nhiên, chúng sẽ bao gồm một tập lệnh PHP với JavaScript được mã hóa base64. Microsoft giải thích rằng: “Việc chèn tập lệnh PHP vào tệp hình ảnh là một hành vi khá tinh vi vì theo mặc định, máy chủ web sẽ không chạy đoạn mã trên và như vậy sẽ để nó tự động tải mỗi khi truy cập trang web”.
Tập lệnh được tin tặc chèn vào sẽ thực thi để xác định trang web thanh toán và xác thực người dùng quản trị để truy cập trang web, sau đó phân phát biểu mẫu giả đến cho khách hàng.
Tập lệnh xác thực trạng thái người dùng quản trị
Với việc sử dụng phương pháp xáo trộn nối chuỗi, tin tặc thực hiện tải mã độc hại từ một tên miền đã được mã hóa base64 dưới sự kiểm soát của chúng bằng cách sử dụng các công cụ đã được cấy ghép trên trang web mục tiêu.
URL được tin tặc thực hiện mã hóa
Cuối cùng, với phương pháp tấn công giả mạo tập lệnh, hiện đang là xu hướng tấn công của skimming thông qua Google Analytics hoặc Meta Pixel - đây là hai công cụ theo dõi lượng truy cập được sử dụng rộng rãi trên hầu hết mọi trang web hiện nay.
Tin tặc sẽ thực hiện đưa các chuỗi được mã hóa base64 vào bên trong trình quản lý thẻ của Google nhằm giả mạo và đánh lừa quản trị viên bỏ qua việc kiểm tra và nghĩ rằng đó là một phần mã chuẩn của trang web.
Giả mạo mã của Google Analytics
Đối với Meta Pixel, tin tặc sẽ thực hiện bắt chước một số thông số phổ biến của plugin thực tế trong khi vẫn giữ URL độc hại đã được mã hóa sau đó chia thành nhiều chuỗi.
Giả mạo các chức năng có trong Meta Pixel
Microsoft cho biết, các tập lệnh có chứa mã độc không chỉ tải lên các dữ liệu độc hại mà còn có các cơ chế chống gỡ lỗi và không thể giải mã chúng để có thể biết thêm thông tin về các chức năng độc hại mà chúng gây ra.
Bảo vệ trước các cuộc tấn công skimming
Ngoài việc tích cực quét và tìm kiếm các lỗ hổng, quản trị viên cần phải đảm bảo rằng website đang chạy phiên bản mới nhất có sẵn của hệ thống quản lý (CMS) và plugin.
Từ quan điểm của khách hàng, chỉ có thể giảm thiểu thiệt hại của các cuộc tấn công skimming bằng cách sử dụng thẻ thanh toán dùng một lần, đặt giới hạn thanh toán nghiêm ngặt hoặc sử dụng các phương thức thanh toán điện tử khác.
Quốc Trường
09:00 | 16/02/2023
09:00 | 27/06/2022
08:00 | 12/03/2024
08:00 | 23/05/2022
13:00 | 20/04/2022
09:00 | 25/05/2022
08:00 | 17/05/2024
Thế vận hội Paris 2024 đang chuẩn bị để sẵn sàng đối mặt với thách thức chưa từng có về mặt an ninh mạng, với việc các nhà tổ chức dự kiến sẽ phải chịu áp lực rất lớn đối với Thế vận hội vào mùa hè này.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024