Các nhà nghiên cứu của Kaspersky đã phát hiện một kỹ thuật mã độc mới để đánh cắp thông tin thanh toán của người dùng thương mại điện tử từ các trang mua sắm trực tuyến – một loại tấn công được gọi là skimming.
Bằng cách đăng ký tài khoản Google Analytics và cài đặt vào những tài khoản này mã theo dõi rồi tiêm vào mã nguồn của trang web, kẻ tấn công có thế thu thập được chi tiết thẻ tín dụng của người dùng. Khoảng hai chục của hàng trực tuyến trên toán thế giới đã bị xâm phạm bằng phương pháp này.
Tin tặc đã tìm thấy mã độc mới để đánh cắp thông tin chi tiết thanh toán của
người dùng thương mại điện tử
Web skimming là một hành vi phổ biến được những kẻ tấn công sử dụng để đánh cắp thông tin thẻ tín dụng của người dùng từ các trang thanh toán của các cửa hàng trực tuyến, theo đó kẻ tấn công tiêm các mã vào nguồn của trang web.
Mã độc này sau đó thu thập dữ liệu được nhập bởi khách truy cập trang web (bao gồm đăng nhập tài khoản thanh toán hoặc số thẻ tín dụng) và gửi các thông tin đã được thu thập đến địa chỉ được chỉ định bởi những kẻ tấn công bằng mã độc. Thông thường, để che dấu sự thật rằng các trang web đã bị xâm nhập, những kẻ tấn công đăng ký tên miền giống với những dịch vụ phân tích trang web phổ biến, chẳng hạn như Google Analytics.
Theo cách đó, khi chúng tiêm mã độc, người quản trị trang sẽ khó biết được rằng trang này đã bị xâm phạm. Ví dụ, một trang web có thê là “googlc-analytics [.]com” sẽ dễ dàng bị nhầm là một tên miền hợp pháp.
Tuy nhiên, gần đây Kaspersky đã phát hiện ra một kỹ thuật chưa từng được biết tới dùng để tiến hành các cuộc tấn công dưới dạng web skimming. Thay vì chuyển hướng dữ liệu đến các nguồn của bên thứ ba, chúng chuyển hướng dữ liệu đó đến các tài khoản Google Analytics chính thức.
Khi những kẻ tấn công đăng ký tài khoản của chúng trên Google Anylytics, tất cả những gì chúng cần phải làm là cấu hình các tham số theo dõi tài khoản để nhận id theo dõi. Sau đó chúng tiêm mã độc cùng với ID theo dõi vào mã nguồn của trang web, cho phép chúng thu thập dữ liệu về khách truy cập và được gửi trực tiếp về các tài khoản Google Analytics của chúng.
Vì dữ liệu không được chuyển tới một tài nguyên của bên thứ ba không được xác định, nên các quản trị viên khó mà nhận ra rằng trang wed đã bị xâm phạm. Đối với những kiểm tra mã nguồn, mã độc chỉ xuất hiện như thể trang đang được kết nối với tài khoản Google Analytics chính thức – đây là thông lệ chung cho các cửa hàng trực tuyến.
Để làm cho hoạt động độc hại trở nên khó phát hiện hơn, những kẻ tấn công cũng sử dụng kỹ thuật chống gỡ lỗi phổ biến: nếu quản trị viên xem xét mã nguồn của trang web bằng chế độ Developer mode, thì mã độc không được thực thi.
Khoảng hai chục trang web đã bị xâm phạm theo cách này, bao gồm các cửa hàng ở châu Âu và Bắc & Nam Mỹ.
“Đây là một kỹ thuật chúng ta chưa từng thấy trước đây và là một kỹ thuật đặc biệt hiệu quả. Google Analytics là một trong những dịch vụ phân tích trang web phổ biến nhất hiện có. Đại đa số các nhà phát triển và người dùng tin tưởng vào Google Analytics, có nghĩa là nó thường xuyên cung cấp quyền thu thập dữ liệu người dùng bởi các nhà quản trị viên trang web”, chuyên gia Victoria Vlasova, Chuyên gia phân tích phần mềm độc hại cấp cao của Kaspersky chia sẻ.
“Điều đó làm cho các mũi tiêm độc hại chứa tài khoản Google Analytics không rõ ràng, rất dễ bị bỏ qua. Theo quy định, quản trị viên không nên cho rằng, chỉ vì tài nguyên của bên thứ ba là hợp pháp, sự hiện diện của nó ở trong mã là ok.
Nguồn Paymentscardsandmobile.
