Các hình thức tấn công bằng việc giả mảo các cửa hàng trực tuyến đang gia tăng vào năm 2022. Mới đây, các nhóm tin tặc Trung Quốc đã sử dụng bản sao của các cửa hàng trực tuyến có thương hiệu nổi tiếng, nhắm mục tiêu người dùng trên toàn thế giới để thực hiện tấn công và lừa đảo. Mục tiêu của chiến dịch lớn này là các cửa hàng trực tuyến nằm ở các quốc gia khác nhau, bao gồm Bồ Đào Nha, Pháp, Tây Ban Nha, Ý, Chile, Mexico, Columbia,... Chiến dịch này bắt đầu hoạt động từ cuối năm 2020 nhưng và đã đạt được hiều quả cao vào đầu năm 2022, với hàng nghìn nạn nhân bị ảnh hưởng.
Hình 1. Số lượng các cửa hàng trực tuyến giả mạo có sẵn trên các máy chủ được định vị địa lý ở Hoa Kỳ, Hà Lan và Thổ Nhĩ Kỳ (dữ liệu tính đến ngày 21/3/2022)
Theo nghiên cứu đánh giá có tới 617 nền tảng mua sắm đang hoạt động được xác định trên toàn thế giới, trong đó 562 nền tảng được tạo ra vào năm 2022. Cụ thể, các máy chủ được đặt tại ba quốc gia: Mỹ, Hà Lan và Thổ Nhĩ Kỳ. Bên cạnh đó, các máy chủ và cửa hàng trực tuyến khác cũng đang được xác định trong quá trình nghiên cứu.
Sơ đồ tấn công của chiến dịch này được trình bày trong Hình 2, với các bước và hành động khác nhau mà tin tặc đang tiến hành thực hiện.
Hình 2. Sơ đồ chiến dịch tấn công của tin tặc Trung Quốc
Tin tặc thực hiện một chiến dịch mới thường bắt đầu bằng việc thực hiện thiết lập tên miền độc hại ở đầu danh sách tìm kiếm của Google thông qua quảng cáo kỹ thuật số (Google Ads), như trong Hình 2 có thể thấy được đường dẫn đến cửa hàng quần áo Lefties (một thương hiệu thời trang phổ biến ở Bồ Đào Nha). Sau một vài ngày, người dùng bị tấn công sẽ hiển thị URL độc hại ở đầu danh sách tìm kiếm. Trong một số trường hợp cụ thể, các đường dẫn độc hại cũng được tìm thấy trên các nền tảng truyền thông xã hội như Instagram và Facebook.
Nội dung của các trang web độc hại sẽ giống như của các cửa hàng chính thức - dựa trên Hệ thống quản lý nội dung tĩnh (CMS) và API PHP kết hợp với MySQL ở chế độ nền. Một số thông tin liên quan đến CMS tĩnh có thể được tìm thấy trên kho lưu trữ GitHub từ tin tặc. Cụ thể, tin tặc đã nỗ lực phát triển một nền tảng chung có thể phục vụ một hoạt động ở quy mô lớn, với việc có những chỉnh sửa nhỏ về hình ảnh và mẫu sẽ cho phép sử dụng lại cho các cửa hàng trực tuyến khác nhau. Khi đó, tất cả các cửa hàng được sử dụng cùng một mã nhưng với các mẫu khác nhau giống với nhãn hiệu mục tiêu. Như đã đề cập, cửa hàng cũng được trang bị một API giao tiếp với một cụm cơ sở dữ liệu MySQL, nơi lưu trữ tất cả dữ liệu của nạn nhân, bao gồm: Tên (họ và tên), địa chỉ đầy đủ (đường phố, mã zip, thành phố và quốc gia), số điện thoại di động, email, mật khẩu, thông tin thẻ tín dụng (số, ngày tháng và CVV), thông tin chi tiết về đơn đặt hàng và mã theo dõi của gói hàng.
Như thường lệ, Thông tin nhận dạng cá nhân (PII) này có thể được tin tặc sử dụng sau này để tận dụng trong các chiến dịch khác. Để ngăn chặn loại tình huống này, securityaffairs đã cung cấp một công cụ cho phép người dùng xác nhận xem thông tin của mình có nằm trong tay kẻ xấu hay không (link kiểm tra thông tin: https://tools.seguranca-informatica.pt/st0r3_sc4m_l34k_ch3ck3r/index.php).
Hình 3. Công cụ kiểm tra thông tin do securityaffairs cung cấp
Ngoài ra, các trang web phần mềm trung gian được tin tặc lưu trữ trên một miền khác giúp nhận dữ liệu trong quá trình thanh toán và thực hiện hoàn tất giao dịch trực tuyến trên một số hệ thống thanh toán trực tuyến như Stripe. Nếu giao dịch được hoàn tất thành công, thông báo phản hồi từ hệ thống thanh toán sẽ được gửi đến nền tảng phần mềm trung gian chịu trách nhiệm gửi phản hồi lên địa chỉ web giả mạo để thực hiện giao dịch thanh toán. Sau đó, một mã theo dõi được gửi đến nạn nhân để theo dõi gói hàng.
Nền tảng theo dõi gói hàng cũng được tạo ra bởi tin tặc và nó được nhúng một phần vào nền tảng hợp pháp: 17track.net. Toàn bộ quá trình này nhằm tạo ra một kịch bản được kiểm soát hoàn toàn và rất gần với một hệ thống hợp pháp, nhưng cuối cùng, nạn nhân sẽ thực sự nhận được gói hàng không phải quần áo mà là hàng không sử dụng được.
Hiếu Luyện
(Theo securityaffairs)
14:00 | 24/08/2023
20:00 | 13/03/2022
13:00 | 24/03/2022
13:00 | 01/06/2022
15:00 | 13/04/2022
14:00 | 24/02/2022
09:00 | 30/12/2024
Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
13:00 | 25/12/2024
Năm 2024 sắp kết thúc, hãy cùng điểm lại những sự cố công nghệ nghiêm trọng nhất xảy ra trong năm qua, ảnh hưởng đến hàng tỷ người trên toàn cầu.
14:00 | 27/11/2024
Công ty an ninh mạng BlackBerry (Canada) cho biết, nhóm tin tặc APT41 của Trung Quốc đứng sau phần mềm độc hại LightSpy iOS đã mở rộng bộ công cụ của chúng bằng DeepData, một framework khai thác mô-đun trên Windows, được sử dụng để thu thập nhiều loại thông tin từ các thiết bị mục tiêu. Bài viết này sẽ tìm hiểu về các plugin DeepData dựa trên báo cáo của BlackBerry.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025