Theo hãng bảo mật Symantec, tội phạm mạng có thể tổ chức những chiến dịch tấn công phức tạp để lấy cắp thông tin thẻ tín dụng trước khi bán chúng ra thị trường chợ đen. Hoặc chúng cũng có thể sử dụng dữ liệu lấy cắp từ dải từ của thẻ để tạo ra thẻ giả. Đây là một thị trường đầy tiềm năng mà ở đó các thẻ cá nhân có thể được bán tới giá 100 USD/chiếc.
Tuy nhiên, một điểm yếu của thẻ tín dụng giả là thời gian sử dụng không thể kéo dài. Các công ty thẻ sẽ rất nhanh chóng nhận ra những khoản chi tiêu bất thường và chủ sở hữu thẻ cũng vậy. Điều này có nghĩa là tội phạm mạng cần một nguồn cung cấp ổn định và dồi dào số thẻ mới.
Trong bối cảnh đó thì các cuộc tấn công nhắm tới hệ thống điểm thanh toán (POS) trở nên đầy hấp dẫn trong mắt hacker. Về hình thái tấn công, tất nhiên sẽ phức tạp hơn và đòi hỏi nhiều giai đoạn hơn so với đánh cắp thông tin thẻ tín dụng. Đầu tiên, những kẻ tấn công phải đạt được quyền truy nhập tới mạng của nạn nhân. Thông thường, kẻ tấn công sẽ tìm cách truy nhập vào một mạng liên kết, không trực tiếp tiếp xúc với môi trường dữ liệu của chủ thẻ.
Sau đó, những kẻ tấn công sẽ phải tìm kiếm khắp mạng đó để có được quyền truy nhập tới hệ thống POS đó. Tiếp theo, chúng sẽ cài đặt mã độc để lấy cắp dữ liệu từ hệ thống bị kiểm soát. Bởi vì hệ thống POS hầu như không có truy nhập mạng bên ngoài, dữ liệu bị lấy cắp sau đó thường sẽ được gửi tới một máy chủ nội bộ và cuối cùng sẽ được trích xuất từ mạng của nhà bán lẻ để gửi tới kẻ tấn công.
Có nhiều phương pháp mà một kẻ tấn công có thể sử dụng để giành được quyền truy nhập tới một mạng doanh nghiệp. Chúng có thể tìm những điểm yếu tồn tại trong hệ thống bên ngoài, chẳng hạn như sử dụng thủ thuật SQL injection trên một máy chủ Web hoặc tìm kiếm một thiết bị ngoại vi vẫn sử dụng mật khẩu mặc định của nhà sản xuất. Hoặc, chúng có thể tấn công mạng doanh nghiệp từ bên trong bằng cách gửi ra một email lừa đảo dạng spear phishing tới một cá nhân nằm trong tổ chức. Email lừa đảo này có thể chứa nội dung đính kèm độc hại hoặc một liên kết tới một trang web cho phép cài đặt một chương trình cửa hậu vào máy tính của nạn nhân.
Một khi đã thâm nhập được vào mạng doanh nghiệp, những kẻ tấn công sẽ cần phải giành được quyền truy nhập tới những mục tiêu quan trọng nhất của chúng – đó là hệ thống điểm thanh toán (POS). Những kẻ tấn công thường sử dụng hàng loạt những công cụ để nắm rõ hệ thống mạng, định vị các hệ thống bên trong môi trường dữ liệu của chủ sở hữu. Mặc dù chúng có thể sử dụng những lỗ hổng bảo mật hoặc những kỹ thuật khác để giành quyền truy nhập tới những hệ thống này, nhưng phương pháp đơn giản nhất và lại hiệu quả nhất đó là sử dụng thông tin truy nhập của chính người dùng. Thông tin người dùng có thể thu được thông qua những chương trình Trojan keylogg (lưu giữ các thao tác của người dùng trên máy), những chương trình khai thác mật khẩu, bẻ khóa, và/hoặc chương trình hiển thị lại nội dung người dùng truy nhập, hoặc thậm chí sử dụng bạo lực. Và cuối cùng, những thông tin truy nhập cấp độ quản trị sau đó có thể được tội phạm nắm giữ.
Từ đây, tội phạm mạng thậm chí có thể giành quyền kiểm soát bộ quản lý tên miền – cho phép chúng truy nhập với đủ quyền hành tới tất cả các máy tính trong một mạng. Một khi kiểm soát được mạng, những kẻ tấn công có thể tiếp cận tới môi trường dữ liệu của chủ thẻ thậm chí ngay cả khi nó nằm trong một hệ mạng phân lập (segmented-network), bằng cách sử dụng mạng và các đường truyền dữ liệu được thiết lập cho những yêu cầu kinh doanh xác định trước. Khi đã vào được môi trường dữ liệu của chủ thẻ, tội phạm mạng sau đó sẽ cài đặt mã độc cho phép chúng lấy cắp dữ liệu thẻ từ các hệ thống POS này.
Bởi vì kẻ tấn công đang nhắm tới một hệ thống POS và những cuộc tấn công kiểu này sẽ cần thời gian để thu thập dữ liệu, do vậy, chúng cần những đoạn mã này tồn tại lâu dài. Không giống như những lỗ hổng về dữ liệu khi hàng triệu bản ghi đều có thể được truy nhập ngay lập tức, các lỗ hổng ở hệ thống POS đòi hỏi những kẻ tấn công phải chờ đợi cho tới khi giao dịch xảy ra và từ đó chúng mới có thể thu thập dữ liệu theo thời gian thực, khi mỗi thẻ tín dụng được sử dụng. Chính vì điều này, việc phát hiện tấn công từ sớm có thể hạn chế mức độ thiệt hại. Việc duy trì mã độc thường xuyên có thể dễ dàng thực hiện bằng cách sử dụng những kỹ thuật đơn giản để đảm bảo nó luôn hoạt động và tự khởi động lại bất cứ khi nào hệ thống khởi động.
10:00 | 08/04/2020
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
09:00 | 24/11/2023
Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.
07:00 | 03/11/2023
Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024