Chủ đề

(Không gian mạng) - Một báo cáo chung của 2 hãng bảo mật Mỹ Flashpoint và RiskIQ vừa công bố, có ít nhất là 7 nhóm tội phạm mạng khác nhau liên quan đến “tin tặc Magecart”, chuyên đặt bẫy thu thập thông tin thẻ tín dụng trên các trang web thương mại điện tử bị xâm nhập. 

Hoạt động từ ít nhất là năm 2015, mạng lưới tin tặc Magecart đánh cắp thông tin thẻ tín dụng bằng cách đặt công cụ đọc trộm dữ liệu (skimmer) trên website chúng viếng thăm.

Mặc dù tin tặc đã xoay sở để không bị phát hiện trong 3 năm, nhưng gần đây chúng đã gây chú ý sau khi nhắm vào những website trực tuyến cao cấp, trong đó có Ticketmaster, Bristish Airways và Newegg.

Gần đây nhất, tin tặc tấn công vào một dịch vụ bên thứ 3, như Feedify và Shopper Approved, thậm chí chúng còn nhắm mục tiêu các thành phần mở rộng Magento. Các cuộc tấn công ngày càng gia tăng về số lượng và mức độ thành công cao trên các trang thương mại điện tử bị xâm nhập, tuy nhiên số lượng nạn nhân hiện vẫn còn rất khó để xác định.10nhomtintacnguyhiemnhat

Sau khi tiến hành điều tra kỹ lưỡng những vụ tấn công kiểu này, các chuyên gia bảo mật của Flashpoint và RiskIQ phát hiện, mạng lưới Magecart không đại diện cho một nhóm tin tặc đơn lẻ, mà có ít nhất 7 nhóm trong đó và mỗi nhóm đều có công cụ, chiến thuật, mục tiêu và đặc điểm riêng biệt. Tuy nhiên, danh sách này vẫn còn chưa chuẩn xác.

2 nhóm đầu tiên mà các chuyên gia gộp làm một, có khả năng sử dụng công cụ tự động để xâm nhập và lấy thông tin website. Tin tặc tấn công hàng ngàn website bằng mã JavaScript và sử dụng một phương pháp chuyển tiếp tinh vi để kiếm tiền: những kẻ được thuê sẽ mua hàng hóa bằng cách sử dụng dữ liệu đánh cắp được và gửi chúng cho tin tặc, sau đó chúng sẽ bán lại để lấy tiền.

Nhóm thứ 3, theo báo cáo, cố gắng xâm nhập vào một số lượng lớn mục tiêu, tấn công càng nhiều nạn nhân càng tốt. Công cụ skimmer của chúng kiểm tra xem có bất kỳ mẫu đơn nào chứa thông tin chi trả trên trang thanh toán hay không, một cách thức đặc biệt của nhóm này so với những nhóm khác trong Magecart.

Nhóm thứ 4, được các chuyên giá đánh giá cực kỳ tân tiến, sử dụng mã code có khả năng trà trộn vào website của nạn nhân để ẩn mình và triển khai nhiều phương thức tránh bị phát hiện khác nhau. Công cụ skimmer của nhóm này chỉ hoạt động trong trường hợp lệnh yêu cầu được đưa ra với một chuỗi nhận dạng người dùng hợp lệ ở mức tối thiểu.

Các chuyên gia lưu ý, nhóm này có thể bắt nguồn từ hoạt động tội phạm khác liên quan đến vụ phát tán mã độc và xâm nhập các phiên làm việc trên hệ thống ngân hàng bằng kỹ thuật lây nhiễm web.

Thay vì nhắm vào các cửa hàng tư nhân, nhóm thứ 5 tấn công vào nhà cung cấp bên thứ 3 để xâm nhập vào số lượng lớn mục tiêu. Công cụ skimmer của nhóm này cũng khá điển hình trong mạng lưới Magecart, có thể vì tin tặc đã mua bộ công cụ tương tự với những nhóm khác, nhưng đây là nhóm chịu trách nhiệm cho vụ tấn công Ticketmaster, Feedify và Shopper Approved.

Nhóm thứ 6 chỉ chuyên nhắm những mục tiêu thuộc hàng top, như British Airways và Newegg, nhằm đảm bảo một lượng lớn lưu lượng và giao dịch. Dù sử dụng một công cụ skimmer đơn giản, nhóm này đã tạo ra tác động mạnh mẽ, thậm chí ngay cả khi mã độc của nhóm không hiện diện lâu trên website mục tiêu.

Với phương thức tấn công còn chưa được định hình tốt, nhóm thứ 7 cố gắng xâm nhập bất kỳ website thương mại số nào nó tìm thấy. Nhóm này sử dụng một công cụ skimmer đơn giản, phù hợp cho loại hình quy trình thanh toán đặc biệt mà mỗi nạn nhân của họ sử dụng. Nhóm 7 lợi dụng các website bị xâm nhập làm máy trung gian lưu trữ các thông tin đánh cắp được.

“Magecart hiện đã trở thành cái tên phổ biến. Tuy hoạt động của chúng không mới nhưng cho thấy một thế giới tội phạm ngầm phức tạp và phát triển mạnh trong nhiều năm mà không bị phát hiện”, báo cáo nhận định.

Các chuyên gia bảo mật cũng ghi nhận rằng, web-skimming không phải là phương thức riêng biệt của Magecart. Một nhóm không liên quan khác đã dùng kỹ thuật này trong một chiến dịch giả mạo thương hiệu phổ biến nhằm đánh cắp thông tin thẻ tín dụng. Tội phạm mạng thiết lập các cửa hàng giả những thương hiệu như Nike, Adidas, The North Face và nhiều hãng khác, để cài đặt skimmer vào các trang web đó. Hơn 800 cửa hàng giả mạo những thương hiệu như vậy đã bị phát hiện từ tháng 06/2018.

Hồng Anh (Lược dịch từ Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên