Tin tặc thực hiện các cuộc tấn công skimming dựa trên các website bằng cách đưa các mã JavaScript độc hại lên các trang web thương mại điện tử bằng cách khai thác các lỗ hổng trên các nền tảng như: Magento, PrestaShop, WordPress… hoặc tấn công thông qua các phương thức bảo mật kém.
Các mã độc hại sẽ được kích hoạt ngay khi người dùng truy cập đến các trang thanh toán điện tử và tiến hành nhập chi tiết các thông tin của thẻ tín dụng hoặc thẻ ghi nợ để thanh toán cho các đơn hàng. Bất cứ thông tin gì được điền trên trang web đều bị tin tặc đánh cắp và sử dụng để thực hiện mua sắm hoặc bán dữ liệu.
Quy trình của cuộc tấn công skimming
Cách thức tấn công của tin tặc
Các nhà phân tích của Microsoft cho biết, ba phương pháp tấn công đang được tin tặc sử dụng phổ biến là: đưa các mã độc hại gắn kèm hình ảnh, nối chuỗi và giả mạo tập lệnh.
Đối với cách thức đưa các mã độc hại gắn kèm hình ảnh, tin tặc thực hiện tải các hình ảnh có chứa mã độc hại lên các máy chủ đích được ngụy trang dưới dạng một biểu tượng yêu thích. Tuy nhiên, chúng sẽ bao gồm một tập lệnh PHP với JavaScript được mã hóa base64. Microsoft giải thích rằng: “Việc chèn tập lệnh PHP vào tệp hình ảnh là một hành vi khá tinh vi vì theo mặc định, máy chủ web sẽ không chạy đoạn mã trên và như vậy sẽ để nó tự động tải mỗi khi truy cập trang web”.
Tập lệnh được tin tặc chèn vào sẽ thực thi để xác định trang web thanh toán và xác thực người dùng quản trị để truy cập trang web, sau đó phân phát biểu mẫu giả đến cho khách hàng.
Tập lệnh xác thực trạng thái người dùng quản trị
Với việc sử dụng phương pháp xáo trộn nối chuỗi, tin tặc thực hiện tải mã độc hại từ một tên miền đã được mã hóa base64 dưới sự kiểm soát của chúng bằng cách sử dụng các công cụ đã được cấy ghép trên trang web mục tiêu.
URL được tin tặc thực hiện mã hóa
Cuối cùng, với phương pháp tấn công giả mạo tập lệnh, hiện đang là xu hướng tấn công của skimming thông qua Google Analytics hoặc Meta Pixel - đây là hai công cụ theo dõi lượng truy cập được sử dụng rộng rãi trên hầu hết mọi trang web hiện nay.
Tin tặc sẽ thực hiện đưa các chuỗi được mã hóa base64 vào bên trong trình quản lý thẻ của Google nhằm giả mạo và đánh lừa quản trị viên bỏ qua việc kiểm tra và nghĩ rằng đó là một phần mã chuẩn của trang web.
Giả mạo mã của Google Analytics
Đối với Meta Pixel, tin tặc sẽ thực hiện bắt chước một số thông số phổ biến của plugin thực tế trong khi vẫn giữ URL độc hại đã được mã hóa sau đó chia thành nhiều chuỗi.
Giả mạo các chức năng có trong Meta Pixel
Microsoft cho biết, các tập lệnh có chứa mã độc không chỉ tải lên các dữ liệu độc hại mà còn có các cơ chế chống gỡ lỗi và không thể giải mã chúng để có thể biết thêm thông tin về các chức năng độc hại mà chúng gây ra.
Bảo vệ trước các cuộc tấn công skimming
Ngoài việc tích cực quét và tìm kiếm các lỗ hổng, quản trị viên cần phải đảm bảo rằng website đang chạy phiên bản mới nhất có sẵn của hệ thống quản lý (CMS) và plugin.
Từ quan điểm của khách hàng, chỉ có thể giảm thiểu thiệt hại của các cuộc tấn công skimming bằng cách sử dụng thẻ thanh toán dùng một lần, đặt giới hạn thanh toán nghiêm ngặt hoặc sử dụng các phương thức thanh toán điện tử khác.
Quốc Trường
09:00 | 16/02/2023
09:00 | 27/06/2022
08:00 | 12/03/2024
08:00 | 23/05/2022
13:00 | 20/04/2022
09:00 | 25/05/2022
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
10:00 | 01/10/2024
MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025