Năm 2017 là năm của ransomware (phần mềm tống tiền). Năm 2018 là năm của đánh cắp tiền điện tử (cryptojacking). Năm 2019 được định hình là năm của formjacking.
Giá trị của các loại tiền điện tử như Bitcoin và Monero giảm mạnh đồng nghĩa với việc tội phạm mạng đang tìm kiếm những nguồn lợi nhuận khác. Còn nơi nào tốt hơn để ăn cắp thông tin ngân hàng của bạn hơn là biểu mẫu (form) bạn điền khi shopping online. Đúng vậy, ngày nay tin tặc có thể đánh cắp thông tin thẻ ngân hàng của bạn trước cả khi dữ liệu đó được gửi đi.
Bài viết này sẽ cung cấp mọi thứ bạn cần biết về formjacking.
Formjacking là gì?
Formjacking là một cách để tội phạm mạng chặn thông tin ngân hàng của bạn trực tiếp từ một trang web thương mại điện tử.
Theo Báo cáo về mối đe dọa an ninh Internet của Symantec 2019 , formjacker (những kẻ thực hiện formjacking) đã xâm nhập 4.818 trang web mỗi tháng trong năm 2018. Trong năm đó, Symantec đã chặn hơn 3,7 triệu nỗ lực tấn công formjacking.
Hơn nữa, hơn 1 triệu trong số những nỗ lực tấn công này đã xảy ra trong hai tháng cuối năm 2018 — tăng dần vào cuối tuần Thứ Sáu Đen (Black Friday) tháng 11 và sau đó trong suốt thời gian mua sắm Giáng sinh vào tháng Mười Hai.
Vậy, một cuộc tấn công bằng formjacking hoạt động như thế nào?
Tin tặc sẽ chèn mã độc vào một trang web thương mại điện tử. Mã độc này lấy cắp thông tin thanh toán như chi tiết thẻ, tên và các thông tin cá nhân khác thường được sử dụng khi mua sắm trực tuyến. Dữ liệu bị đánh cắp được gửi đến máy chủ để sử dụng lại hoặc bán mà nạn nhân không hề hay biết.
Nghe có vẻ rất đơn giản nhưng thực tế không phải vậy. Một hacker đã sử dụng 22 dòng mã để sửa đổi các tập lệnh chạy trên trang của hãng hàng không British Airways. Kẻ tấn công đã đánh cắp 380.000 chi tiết thẻ tín dụng, thu về hơn 13 triệu bảng Anh.
Các cuộc tấn công nổi tiếng gần đây nhằm vào British Airways, TicketMaster UK, Newegg, Home Depot và Target đều có chung một mẫu số: Formjacking.
Ai gây ra các cuộc tấn công Formjacking?
Phần lớn các cuộc tấn công Formjacking gây ra bởi các nhóm Magecart.
Cái tên này bắt nguồn từ phần mềm mà các nhóm hacker sử dụng để đưa mã độc vào các trang thương mại điện tử dễ bị tấn công. Bạn thường thấy Magecart được sử dụng để chỉ một nhóm hack. Trên thực tế, nhiều nhóm hack Magecart tấn công các mục tiêu khác nhau, sử dụng các kỹ thuật khác nhau.
Yonathan Klijnsma, một nhà nghiên cứu mối đe dọa tại hãng an ninh mạng RiskIQ, theo dõi nhiều nhóm Magecart khác nhau. Trong một báo cáo gần đây được công bố với công ty tình báo rủi ro Flashpoint, Klijnsma cung cấp thông tin chi tiết về sáu nhóm riêng biệt sử dụng Magecart, hoạt động dưới cùng một biệt danh để tránh bị phát hiện.
Báo cáo Inside Magecart nhận diện những yếu tốtạo nên “bản sắc” của mỗi nhóm Magecart hàng đầu:
- Nhóm 1 & 2: Tấn công hàng loạt mục tiêu, sử dụng các công cụ tự động để xâm phạm và lướt các trang web; kiếm tiền từ dữ liệu bị đánh cắp bằng cách sử dụng một kế hoạch chuyển dữ liệu tinh vi.
- Nhóm 3: Số lượng mục tiêu lớn, vận hành một công cụ để xâm nhập (injector) và lướt (skimmer) riêng.
- Nhóm 4: Một trong những nhóm tiên tiến nhất, ẩn mình vào trong các website mục tiêu bằng cách sử dụng một loạt các công cụ ẩn giấu.
- Nhóm 5: Nhắm vào các nhà cung cấp bên thứ ba để xâm nhập nhiều mục tiêu, có liên quan đến cuộc tấn công Ticketmaster (trang web chuyên bán vé đến các sự kiện thể thao, giải trí).
- Nhóm 6: Nhắm mục tiêu đến các trang web và dịch vụ có giá trị cực cao, bao gồm cả các cuộc tấn công của British Airways và Newegg (hãng bán lẻ phần cứng máy tính và đồ điện tử gia dụng tại Mỹ).
Như bạn có thể thấy, các nhóm trên sử dụng các kỹ thuật khác nhau, nhắm đến các mục tiêu khác nhau. Hơn nữa, các nhóm Magecart đang cạnh tranh để tạo ra một sản phẩm ăn cắp thông tin xác thực hiệu quả (Sáu nhóm này không phải là nhóm Magecart duy nhất).
Nhóm nâng cao 4
Bài báo cáo của RiskIQ xác định Nhóm 4 là nhóm “nâng cao”. Điều đó có nghĩa là gì?
Nhóm 4 cố gắng trà trộn vào trang web mà nó đang xâm nhập. Thay vì tạo thêm lưu lượng truy cập web mà quản trị viên mạng hoặc nhà nghiên cứu bảo mật có thể phát hiện, Nhóm 4 cố gắng tạo lưu lượng truy cập “tự nhiên”. Nó thực hiện điều này bằng cách đăng ký các miền bắt chước nhà quảng cáo, tên miền của nạn nhân và bất kỳ thứ gì khác giúp chúng ẩn mình ở một chỗ thực ra rất dễ thấy.
Ngoài ra, Nhóm 4 thường xuyên thay đổi giao diện của skimmer, cách URL của nó xuất hiện, máy chủ lọc dữ liệu, v.v.
Hơn thế nữa, skimmer của Nhóm 4 xác thực URL thanh toán mà nó đang hoạt động. Sau đó, không giống như các nhóm khác, nhóm 4 skimmer thay thế biểu mẫu thanh toán thực bằng một biểu mẫu của riêng chúng và khách hàng (người mua sắm) sẽ trực tiếp điền vào form này. Thay thế biểu mẫu “chuẩn hóa dữ liệu đầu ra”, giúp việc sử dụng hoặc bán lại dễ dàng hơn.
Các nhóm Formjacking kiếm tiền như thế nào?
Trong phần lớn các trường hợp, thông tin bị đánh cắp được bán trực tuyến . Có rất nhiều diễn đàn thẻ quốc tế và bằng tiếng Nga với danh sách dài các thẻ tín dụng bị đánh cắp cũng như các thông tin ngân hàng khác. Chúng không phải là loại trang web bất hợp pháp, tạp nham như bạn tưởng.
BÀI LIÊN QUAN: Dữ liệu cá nhân được mua và bán trên web đen như thế nào?
Một vài trong số các trang phổ biến nhất có giao diện cực kỳ chuyên nghiệp — tiếng Anh hoàn hảo, ngữ pháp hoàn hảo, dịch vụ khách hàng hoàn hảo; mọi thứ bạn mong đợi từ một trang thương mại điện tử hợp pháp.
Các nhóm Magecart cũng đang bán lại các gói formjacking của chúng cho các tội phạm mạng khác. Các nhà phân tích cho Flashpoint đã tìm thấy quảng cáo cho bộ dụng cụ skimmer định dạng tùy chỉnh trên một diễn đàn hack của Nga. Các bộ công cụ dao động từ khoảng $250 đến $5.000 tùy thuộc vào độ phức tạp.
Các nhóm Formjacking cũng cung cấp quyền truy cập vào các trang web bị xâm nhập, với giá khởi điểm thấp nhất là 0,5 đô la, tùy thuộc vào xếp hạng của trang web, dịch vụ lưu trữ và các yếu tố khác. Các nhà phân tích Flashpoint đã phát hiện ra khoảng 3.000 trang web bị xâm nhập được rao bán trên cùng một diễn đàn hack.
Cách ngăn chặn một cuộc tấn công Formjacking
Các skimmer trong các cuộc tấn công Magecart formjacking sử dụng JavaScript để lợi dụng các hình thức thanh toán của khách hàng. Việc sử dụng trình chặn tập lệnh (script blocker) dựa trên trình duyệt thường là đủ để ngăn chặn một cuộc tấn công formjacking đánh cắp dữ liệu của bạn.
- Người dùng Chrome nên tìm hiểu về ScriptSafe
- Người dùng Firefox có thể sử dụng NoScript
- Người dùng Opera có thể sử dụng ScriptSafe
- Người dùng Safari nên xem xét JSBlocker
Khi bạn thêm một trong các tiện ích mở rộng chặn tập lệnh vào trình duyệt của mình, bạn sẽ có thêm khả năng bảo vệ đáng kể trước các cuộc tấn công formjacking. Tuy nhiên, nó không hoàn hảo .
Báo cáo RiskIQ đề xuất tránh các trang web nhỏ không có cùng mức độ bảo vệ như một trang web lớn. Các cuộc tấn công vào British Airways, Newegg và Ticketmaster cho thấy rằng lời khuyên này cũng không hoàn toàn đúng đắn. Tuy nhiên, nó cũng đáng để xem xét. Một trang web thương mại điện tử nhỏ có nhiều khả năng lưu trữ tập lệnh formjacking Magecart hơn là một trang lớn với mức độ an ninh cao hơn.
Bình luận (0
)