Một chiến dịch web skimming quy mô lớn đã lan rộng khắp internet, nhắm mục tiêu vào những người mua sắm trực tuyến và chủ tài khoản với phạm vi chưa từng có. Các nhà nghiên cứu bảo mật đã phát hiện hơn 50 kịch bản trong một chiến dịch toàn cầu, có khả năng chặn các thông tin nhạy cảm trong quá trình thanh toán và tạo tài khoản.
Cuộc tấn công này cho thấy sự phát triển đáng kể trong cách tội phạm mạng nhắm mục tiêu vào các nền tảng thương mại điện tử, không chỉ dừng lại ở việc đánh cắp thẻ tín dụng mà còn mở rộng sang chiếm đoạt toàn bộ danh tính khách hàng. Đây là một mối đe dọa mạng nghiêm trọng đối với các doanh nghiệp và người dùng.
Hoạt Động của Chiến Dịch Web Skimming Toàn Cầu
Mục Tiêu và Phạm Vi Tấn Công
Chiến dịch web skimming này sử dụng các tải trọng (payload) dạng mô-đun được thiết kế riêng cho từng bộ xử lý thanh toán cụ thể. Những kẻ tấn công đã tạo ra các biến thể cục bộ nhắm mục tiêu cụ thể vào các cổng thanh toán lớn như Stripe, Mollie, PagSeguro, OnePay, và PayPal.
Cách tiếp cận tùy chỉnh này cho phép mã độc hòa trộn liền mạch với giao diện thanh toán hợp pháp, làm cho việc phát hiện trở nên khó khăn hơn đáng kể cho cả đội ngũ bảo mật và khách hàng khi hoàn tất giao dịch.
Kỹ Thuật Khai Thác Tiên Tiến
Cuộc tấn công hoạt động thông qua nhiều vector lây nhiễm khác nhau, khiến nó trở nên đặc biệt nguy hiểm. Các kịch bản độc hại chèn trực tiếp các biểu mẫu thanh toán giả mạo vào các trang web, tạo ra các giao diện lừa đảo (phishing) thuyết phục để thu thập dữ liệu khách hàng.
Chiến dịch còn triển khai các kỹ thuật skimming ngầm, âm thầm ghi lại thông tin khi người dùng nhập liệu. Điều này đảm bảo rằng ngay cả khi không có biểu mẫu giả mạo rõ ràng, dữ liệu vẫn bị đánh cắp.
Cơ Sở Hạ Tầng Giả Mạo Tinh Vi
Các nhà phân tích của Source Defense Research đã xác định được cơ sở hạ tầng của mã độc, phát hiện một mạng lưới phức tạp gồm các tên miền được sử dụng để phân phối và kiểm soát cuộc tấn công. Bạn có thể tham khảo thêm chi tiết về khám phá này từ Source Defense tại nguồn tin cậy.
Các tên miền như googlemanageranalytic.com, gtm-analyticsdn.com, và jquery-stupify.com được tạo ra để trông giống hợp pháp, thường bắt chước các thư viện phổ biến và dịch vụ phân tích mà các trang web thường tải. Sự lừa dối này cho phép các kịch bản độc hại thực thi mà không gây ra nghi ngờ ngay lập tức.
Từ Đánh Cắp Thẻ Tín Dụng Đến Chiếm Đoạt Danh Tính Hoàn Chỉnh
Phá Vỡ Biên Giới Dữ Liệu
Điều làm nên sự khác biệt của chiến dịch web skimming này là phạm vi mở rộng vượt xa chi tiết thẻ thanh toán. Mã độc chủ động thu thập thông tin đăng nhập người dùng, thông tin nhận dạng cá nhân (PII) và địa chỉ email. Đây là một hình thức rò rỉ dữ liệu nhạy cảm có mức độ nghiêm trọng cao.
Việc thu thập dữ liệu toàn diện này cho phép những kẻ tấn công thực hiện các cuộc tấn công chiếm quyền tài khoản (account takeover) và thiết lập quyền truy cập bền bỉ thông qua các tài khoản quản trị viên giả mạo. Mối đe dọa này đã thực sự phát triển từ skimming tập trung vào thẻ sang một hoạt động chiếm đoạt danh tính hoàn chỉnh.
Thiết Lập Quyền Truy Cập Bền Bỉ
Chiến dịch này tiết lộ cách web skimming đã trưởng thành thành một cơ chế duy trì lâu dài và tinh vi. Bằng cách đánh cắp thông tin đăng nhập và thiết lập quyền truy cập quản trị, những kẻ tấn công có thể duy trì kiểm soát các trang web bị xâm nhập trong thời gian dài, liên tục thu thập dữ liệu từ nhiều luồng giao dịch.
Các Biện Pháp Chống Phân Tích (Anti-forensics)
Ngoài ra, các kịch bản còn triển khai các biện pháp chống phân tích pháp y (anti-forensics) bao gồm các trường nhập liệu ẩn và tạo thẻ rác hợp lệ theo thuật toán Luhn. Điều này làm phức tạp thêm các nỗ lực phản ứng sự cố và phân tích, gây khó khăn cho việc phát hiện và truy vết cuộc tấn công mạng.
Các Chỉ Số Thỏa Hiệp (IOCs)
Dưới đây là danh sách các tên miền độc hại được sử dụng trong chiến dịch web skimming này:
googlemanageranalytic.comgtm-analyticsdn.comjquery-stupify.com
Chỉ Dẫn Bảo Vệ và Giảm Thiểu Rủi Ro
Chiến Lược Phòng Ngừa
Các tổ chức điều hành nền tảng thương mại điện tử phải tăng cường an ninh mạng phía máy khách (client-side security), triển khai các chính sách bảo mật nội dung (Content Security Policies – CSP) và triển khai giám sát biểu mẫu thanh toán theo thời gian thực để phát hiện và chặn các hành vi chèn mã độc hại như vậy trước khi chúng tiếp cận khách hàng.
Việc áp dụng các biện pháp này là tối cần thiết để bảo vệ dữ liệu người dùng và duy trì niềm tin của khách hàng trước mối đe dọa web skimming ngày càng tinh vi.
