WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hàng nghìn cửa hàng trực tuyến bị trộm thẻ tín dụng xâm nhập
Những kẻ tấn công đã chèn mã JavaScript độc hại vào các website thương mại điện tử để đánh cắp dữ liệu thẻ thanh toán.
Gần 6.000 cửa hàng trực tuyến đã bị xâm nhập bởi hacker. Chúng chèn mã đặc biệt để chặn và đánh cắp thông tin thẻ thanh toán.
Những cuộc tấn công sao chép dữ liệu (skimming) trực tuyến kiểu này bị phát hiện đầu tiên bởi nhà nghiên cứu người Hà Lan Willem de Groot một năm trước đây. Tại thời điểm đó, ông đã tìm thấy 3.501 cửa hàng có chứa các mã JavaScript độc hại. Tuy nhiên, tình hình không hề tốt lên mà ngày càng tồi tệ hơn.
Đến tháng 3/2016, số lượng các cửa hàng bị xâm nhập tăng gần 30% lên đến 4.476 cửa hàng và vào tháng 9, con số là 5.925. Điều này cho thấy hình thức tấn công này có thể không bị phát hiện trong nhiều tháng, các nhà nghiên cứu cho biết.
Theo de Groot, có nhiều nhóm tham gia vào các vụ tấn công sao chép dữ liệu trực tuyến. Năm 2015 đã xuất hiện nhiều biến thể của cùng một mã độc trong các vụ tấn công và hiện tại có 3 dòng mã độc khác biệt trên tổng số 9 biến thể.
"Mã độc đầu tiên chỉ chặn các trang có nhãn thanh toán trong URL," các nhà nghiên cứu cho biết. "Các phiên bản mới hơn của mã độc sẽ kiểm tra các plugin thanh toán thông dụng như Firecheckout, Onestepcheckout và Paypal".
Mã độc được xây dựng phức tạp và được triển khai cùng các lỗ hổng chưa được vá trong các giải pháp quản lý nội dung hoặc phần mềm thương mại điện tử.
Điều tồi tệ nhất là một số chủ cửa hàng dường như không nhận thức được mức độ nghiêm trọng hoặc ảnh hưởng của vấn đề. De Groot đưa ra một số ví dụ về các câu trả lời tồi tệ nhất mà ông nhận được từ các công ty khi thông báo cho họ về tình trạng xâm nhập.
"Chúng tôi không quan tâm, thanh toán của chúng tôi được xử lý bởi một nhà cung cấp thanh toán bên thứ 3", một chủ cửa hàng giấu tên cho biết.
"Cửa hàng chúng tôi an toàn bởi chúng tôi sử dụng HTTPS," một người khác nói.
HTTPS bảo vệ khỏi các cuộc tấn công Man-in-the-Middle, khi hacker chặn đường truyền giữa người dùng và máy chủ. Tuy nhiên, trong trường hợp này, mã độc chạy trên máy chủ và được vượt qua cơ chế HTTPS, vì vậy hacker có thể nhìn thấy mọi thông tin người dùng nhập vào các trang web.
Khi sử dụng một bộ xử lý thanh toán của bên thứ ba, "nếu một người nào đó có thể chèn Javascript vào trang web của bạn, cơ sở dữ liệu của bạn rất có thể cũng bị tấn công," de Groot cho biết.
Tin tốt là một số chủ cửa hàng đã có hành động cụ thể. 334 cửa hàng đã khắc phục vấn đề trong khoảng thời gian 48 giờ. Tuy nhiên, trong khoảng thời gian đó, cũng đã có thêm 170 cửa hàng bị hack.
Gần 6.000 cửa hàng trực tuyến đã bị xâm nhập bởi hacker. Chúng chèn mã đặc biệt để chặn và đánh cắp thông tin thẻ thanh toán.
Những cuộc tấn công sao chép dữ liệu (skimming) trực tuyến kiểu này bị phát hiện đầu tiên bởi nhà nghiên cứu người Hà Lan Willem de Groot một năm trước đây. Tại thời điểm đó, ông đã tìm thấy 3.501 cửa hàng có chứa các mã JavaScript độc hại. Tuy nhiên, tình hình không hề tốt lên mà ngày càng tồi tệ hơn.
Đến tháng 3/2016, số lượng các cửa hàng bị xâm nhập tăng gần 30% lên đến 4.476 cửa hàng và vào tháng 9, con số là 5.925. Điều này cho thấy hình thức tấn công này có thể không bị phát hiện trong nhiều tháng, các nhà nghiên cứu cho biết.
Theo de Groot, có nhiều nhóm tham gia vào các vụ tấn công sao chép dữ liệu trực tuyến. Năm 2015 đã xuất hiện nhiều biến thể của cùng một mã độc trong các vụ tấn công và hiện tại có 3 dòng mã độc khác biệt trên tổng số 9 biến thể.
"Mã độc đầu tiên chỉ chặn các trang có nhãn thanh toán trong URL," các nhà nghiên cứu cho biết. "Các phiên bản mới hơn của mã độc sẽ kiểm tra các plugin thanh toán thông dụng như Firecheckout, Onestepcheckout và Paypal".
Mã độc được xây dựng phức tạp và được triển khai cùng các lỗ hổng chưa được vá trong các giải pháp quản lý nội dung hoặc phần mềm thương mại điện tử.
Điều tồi tệ nhất là một số chủ cửa hàng dường như không nhận thức được mức độ nghiêm trọng hoặc ảnh hưởng của vấn đề. De Groot đưa ra một số ví dụ về các câu trả lời tồi tệ nhất mà ông nhận được từ các công ty khi thông báo cho họ về tình trạng xâm nhập.
"Chúng tôi không quan tâm, thanh toán của chúng tôi được xử lý bởi một nhà cung cấp thanh toán bên thứ 3", một chủ cửa hàng giấu tên cho biết.
"Cửa hàng chúng tôi an toàn bởi chúng tôi sử dụng HTTPS," một người khác nói.
HTTPS bảo vệ khỏi các cuộc tấn công Man-in-the-Middle, khi hacker chặn đường truyền giữa người dùng và máy chủ. Tuy nhiên, trong trường hợp này, mã độc chạy trên máy chủ và được vượt qua cơ chế HTTPS, vì vậy hacker có thể nhìn thấy mọi thông tin người dùng nhập vào các trang web.
Khi sử dụng một bộ xử lý thanh toán của bên thứ ba, "nếu một người nào đó có thể chèn Javascript vào trang web của bạn, cơ sở dữ liệu của bạn rất có thể cũng bị tấn công," de Groot cho biết.
Tin tốt là một số chủ cửa hàng đã có hành động cụ thể. 334 cửa hàng đã khắc phục vấn đề trong khoảng thời gian 48 giờ. Tuy nhiên, trong khoảng thời gian đó, cũng đã có thêm 170 cửa hàng bị hack.
Nguồn: PCWorld