Tin tặc tấn công đánh cắp thẻ tín dụng từ hơn 100 trang web mua sắm

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Tấn công liên tiếp đánh cắp thẻ tín dụng từ hơn một trăm trang web mua sắm

Mới đây các nhà nghiên cứu từ Công ty An ninh mạng Trung Quốc Qihoo 360’s NetLab đã tiết lộ chi tiết về chiến dịch hack thẻ tín dụng đang tiếp diễn, đánh cắp thông tin thẻ thanh toán của các khách hàng từ hơn 105 trang web thương mại điện tử.

Trong quá trình giám sát tên miền độc hại www.magento-analytics [.]com, các nhà nghiên cứu đã phát hiện ra rằng những kẻ tấn công đã cấy các đoạn mã JS (JavaScript) độc hại  được lưu trữ trên miền này vào hàng trăm trang web mua sắm trực tuyến.

Cách thức tin tặc đánh cắp thông tin thẻ thanh toán của người dùng

Các đoạn mã JS được đề cập bao gồm mã skimming thẻ tín dụng kỹ thuật số khi thực thi trên trang web. Mã này sẽ tự động lấy cắp thông tin thẻ thanh toán (tên chủ thẻ tín dụng, số thẻ, thời hạn dùng thẻ, số CVV) khi khách hàng nhập thông tin.

NetLab cho biết, hiện tại họ chưa có đủ dữ liệu để xác định cách thức mà các hacker đã tấn công gây lây nhiễm các trang web  hay những lỗ hổng nào đã được chúng khai thác, tuy nhiên, công ty an ninh mạng này đã xác nhận rằng tất cả các trang web mua sắm bị ảnh hưởng đều chạy trên CMS (Hệ quản trị nội dung) của phần mềm thương mại điện tử Magento.

Mã độc gửi dữ liệu tới những kẻ tấn công

Phân tích cho thấy sau khi đánh cắp dữ liệu thẻ thanh toán, các mã độc gửi những dữ liệu đó đến một tệp khác được lưu trữ trên máy chủ phân tích magento [.]com do những kẻ tấn công kiểm soát.

Ví dụ với trang web www.kings2.com, khi người dùng truy cập vào trang chủ của web thì mã JS cũng chạy. Nếu người dùng chọn một sản phẩm rồi truy cập vào mục ‘Thông tin thanh toán’ để gửi dữ liệu thẻ tín dụng, thì ngay sau khi số CVV được nhập, thông tin thẻ tín dụng đó sẽ được gửi đi.

Thủ thuật này không có gì là mới, thậm chí nó lặp lại y hệt những gì nhóm hack thẻ tín dụng MageCart khét tiếng đã sử dụng trong hàng trăm cuộc tấn công gần đây, trong đó có Ticketmaster, British AirwaysNewegg.

Tuy nhiên, các nhà nghiên cứu NetLab đã không chỉ ra một liên kết rõ ràng nào giữa cuộc tấn công này với nhóm MageCart.

Hãy thận trọng, đừng nhầm lẫn!

Ngoài ra, đừng nhầm lẫn tên miền độc hại www.magento-analytics[.]com.

Trong tên miền có chữ Magento nhưng không có nghĩa là nó cũng được liên kết với nền tảng CMS thương mại điện tử Magento phổ biến; Thay vào đó, những kẻ tấn công đã sử dụng từ khóa này để ngụy trang hoạt động tấn công của chúng đồng thời qua mắt các khách hàng thường xuyên.

Theo các nhà nghiên cứu, tên miền độc hại sử dụng trong chiến dịch tấn công này được đăng ký tại Panama. Tuy nhiên, gần đây, địa chỉ IP đã liên tục xuất hiện tại các quốc gia khác nhau từ Arizona, Hoa Kỳ sang Moscow, Nga, rồi tới Hồng Kông, Trung Quốc.

105 trang web bị đánh cắp thông tin

Các nhà nghiên cứu phát hiện ra rằng tên miền độc hại này đã bắt đầu đánh cắp thông tin thẻ tín dụng ít nhất từ năm tháng trước với tổng số 105 trang web đã bị nhiễm mã độc JS.  Họ tin rằng con số thực tế có thể cao hơn những gì đã được phát hiện.

Vừa qua, một người dùng đã đăng trên diễn đàn rằng trang web Magento của mình gần đây cũng bị hack và những kẻ tấn công đã bí mật thực thi một đoạn mã đánh cắp thẻ tín dụng từ cùng một tên miền. Đó rõ ràng là một biến thể riêng biệt chưa có tên trong danh sách trên trang web 360 NetLab.

Dựa theo thực tế rằng những kẻ tấn công thường khai thác các lỗ hổng đã biết trong phần mềm thương mại điện tử trực tuyến để thực thi các tập lệnh độc hại của chúng, các quản trị viên trang web được khuyến nghị tuân theo các thực tiễn bảo mật tối ưu nhất, ví dụ như áp dụng các bản cập nhật và bản vá mới nhất, hạn chế các đặc quyền cho các hệ thống quan trọng và tăng cường bảo mật máy chủ web.

Các quản trị viên trang web cũng được khuyên nên tận dụng Chính sách bảo mật nội dung (Content Security Policy) cho phép kiểm soát một cách chặt chẽ và chính xác những tài nguyên nào được phép tải trên trang web của họ. Trong khi đó, người mua hàng trực tuyến cũng được khuyến cáo nên thường xuyên kiểm tra thẻ tín dụng và sao kê ngân hàng cho bất kỳ hoạt động lạ nào. Bất kể là một giao dịch trái phép nhỏ nào được phát hiện thì cũng nên ngay lập tức thông báo cho ngân hàng để có phương án xử lý kịp thời.

THN