DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tin tặc sử dụng cách thức mới để đánh cắp dữ liệu thẻ tín dụng
Các nhà nghiên cứu an ninh mạng nhận thấy tội phạm mạng đang sử dụng các kênh Telegram riêng tư để tấn công các cửa hàng trực tuyến nhằm đánh cắp thông tin thẻ tín dụng của khách hàng mua hàng trên các trang web.
Phương pháp mới này do nhà nhiên cứu an ninh mạng Affable Kraut phát hiện thấy bằng cách phân tích dữ liệu từ công ty Sansec. Kraut đã phân tích các đoạn mã JavaScript độc hại, đã tích hợp các biện pháp bảo vệ để chống lại các kỹ thuật phân tích JavaScript phổ biến.
Kraut giải thích các đoạn mã JavaScript độc hại này thu thập tất cả dữ liệu đầu vào của người dùng và gửi dữ liệu đến một kênh Telegram.
Tất cả thông tin được mã hóa bằng khóa công khai. Sau đó, Telegram bot sẽ gửi dữ liệu bị đánh cắp từ một tin nhắn chat.
Kraut lưu ý mặc dù phương pháp này hiệu quả trong trích xuất dữ liệu, nhưng có thể phản tác dụng vì bất kỳ ai có mã thông báo cho Telegram bot đều có thể kiểm soát toàn bộ quá trình của Telegram bot.
Jérôme Segura, nhà nghiên cứu an ninh mạng tại Malwarebytes, cũng phân tích tập lệnh JavaScript này và nói rằng tác giả của nó đã áp dụng mã hóa Base64 đơn giản cho bot ID, kênh Telegram và yêu cầu API. Dưới đây là hình ảnh cho thấy toàn bộ quy trình hoạt động của mã độc đánh cắp thông tin thẻ tín dụng.
Nhà nghiên cứu cho biết quá trình trích xuất dữ liệu chỉ bắt đầu “khi URL hiện tại của trình duyệt là một trang web mua sắm và khi người dùng xác nhận giao dịch mua”. Chi tiết thanh toán sau đó sẽ được gửi đến cổng thanh toán hợp pháp của đơn vị cung cấp thẻ tín dụng và tội phạm mạng.
Nhà nghiên cứu nói rằng, với phương pháp này, tin tặc có thể vượt qua các giải pháp an ninh được cài đặt trên các hệ thống cung cấp dịch vụ thẻ tín dụng.
Hơn nữa, việc bảo vệ chống lại biến thể skimmer này không hề đơn giản. Chặn các kết nối Telegram là một giải pháp tạm thời vì những kẻ tấn công có thể chọn một dịch vụ hợp pháp khác để che giấu việc trích xuất dữ liệu.
Các nhà nghiên cứu từ Malwarebytes đã xác định được một số cửa hàng trực tuyến bị nhiễm biến thể của skimmer đánh cắp dữ liệu thẻ thanh toán này. Tuy nhiên, nhà nghiên cứu tin rằng có rất nhiều cửa hàng trực tuyến khác cũng bị khai thác với kỹ thuật mới này.
Phương pháp mới này do nhà nhiên cứu an ninh mạng Affable Kraut phát hiện thấy bằng cách phân tích dữ liệu từ công ty Sansec. Kraut đã phân tích các đoạn mã JavaScript độc hại, đã tích hợp các biện pháp bảo vệ để chống lại các kỹ thuật phân tích JavaScript phổ biến.
Kraut giải thích các đoạn mã JavaScript độc hại này thu thập tất cả dữ liệu đầu vào của người dùng và gửi dữ liệu đến một kênh Telegram.
Tất cả thông tin được mã hóa bằng khóa công khai. Sau đó, Telegram bot sẽ gửi dữ liệu bị đánh cắp từ một tin nhắn chat.
Kraut lưu ý mặc dù phương pháp này hiệu quả trong trích xuất dữ liệu, nhưng có thể phản tác dụng vì bất kỳ ai có mã thông báo cho Telegram bot đều có thể kiểm soát toàn bộ quá trình của Telegram bot.
Jérôme Segura, nhà nghiên cứu an ninh mạng tại Malwarebytes, cũng phân tích tập lệnh JavaScript này và nói rằng tác giả của nó đã áp dụng mã hóa Base64 đơn giản cho bot ID, kênh Telegram và yêu cầu API. Dưới đây là hình ảnh cho thấy toàn bộ quy trình hoạt động của mã độc đánh cắp thông tin thẻ tín dụng.
Nhà nghiên cứu cho biết quá trình trích xuất dữ liệu chỉ bắt đầu “khi URL hiện tại của trình duyệt là một trang web mua sắm và khi người dùng xác nhận giao dịch mua”. Chi tiết thanh toán sau đó sẽ được gửi đến cổng thanh toán hợp pháp của đơn vị cung cấp thẻ tín dụng và tội phạm mạng.
Nhà nghiên cứu nói rằng, với phương pháp này, tin tặc có thể vượt qua các giải pháp an ninh được cài đặt trên các hệ thống cung cấp dịch vụ thẻ tín dụng.
Hơn nữa, việc bảo vệ chống lại biến thể skimmer này không hề đơn giản. Chặn các kết nối Telegram là một giải pháp tạm thời vì những kẻ tấn công có thể chọn một dịch vụ hợp pháp khác để che giấu việc trích xuất dữ liệu.
Các nhà nghiên cứu từ Malwarebytes đã xác định được một số cửa hàng trực tuyến bị nhiễm biến thể của skimmer đánh cắp dữ liệu thẻ thanh toán này. Tuy nhiên, nhà nghiên cứu tin rằng có rất nhiều cửa hàng trực tuyến khác cũng bị khai thác với kỹ thuật mới này.
Theo: bleepingcomputer
Chỉnh sửa lần cuối bởi người điều hành: