Các nhà nghiên cứu từ Akamai đã phát hiện ra một cuộc tấn công skimmer (phần mềm lấy cắp thông tin thẻ tín dụng bằng công nghệ tiên tiến) mới đang nhắm mục tiêu vào một số cửa hàng điện tử với một kỹ thuật mới để trích xuất dữ liệu.
Tội phạm mạng đang sử dụng diễn đàn thẻ tín dụng giả mạo và WebSocket (một giao thức giúp truyền dữ liệu hai chiều giữa server-client qua một kết nối TCP duy nhất) để đánh cắp thông tin tài chính và thông tin cá nhân của người dùng.
Công bố của Akamai cho biết: "Các cửa hàng trực tuyến đang có xu hướng thuê bên thứ ba để xử lý quy trình thanh toán của họ, nghĩa là dữ liệu thẻ tín dụng không được xử lý trong cửa hàng. Để vượt qua được điều này, kẻ tấn công tạo một mẫu thẻ tín dụng giả mạo và cấy vào trang thanh toán của ứng dụng, sau đó dùng WebSocket để trích xuất thông tin của chủ thẻ".
Tin tặc sử dụng phần mềm skimmer để cấy trình tải (loader) vào nguồn của trang dưới dạng inline script (tập lệnh không được load từ file bên ngoài, nhưng được nhúng bên trong HTML). Sau khi thực thi, một tệp JavaScript độc hại sẽ được yêu cầu từ máy chủ C2 (tại https[:]//tags-manager[.]com/gtags/script2).
Khi tải tập lệnh từ máy chủ bên ngoài, skimmer lưu trữ trong LocalStorage (cách thức lưu trữ dữ liệu tại client độc lập với server) của trình duyệt với một định danh session-id đã được tạo và địa chỉ IP của máy khách.
Kẻ tấn công lợi dụng API của Cloudflare (dịch vụ DNS trung gian) để lấy địa chỉ IP của người dùng, sau đó sử dụng kết nối WebSocket để trích xuất thông tin nhạy cảm từ các trang liên quan tới đăng nhập, kiểm tra và những trang đăng ký tài khoản mới.
Điều đặc biệt của cuộc tấn công này là việc sử dụng WebSocket thay vì các thẻ HTML hay các yêu cầu XHR để trích xuất thông tin từ trang bị ảnh hưởng khiến kỹ thuật tấn công được kín đáo hơn. Việc sử dụng WebSocket cho phép vượt qua rất nhiều chính sách CSP (một biện pháp bảo mật từ phía trình duyệt).
Các chuyên gia thấy rằng đối với những cửa hàng điện tử xử lý quy trình thanh toán thông qua nhà cung cấp bên thứ ba, skimmer sẽ tạo một mẫu thẻ tín dụng giả lên trang trước khi nó được chuyển hướng tới nhà cung cấp bên thứ ba.
Theo kết luận từ phía công ty, Akamai thấy các cuộc tấn công từ phía máy khách của ứng dụng web được sửa đổi một cách tinh vi và mới mẻ. Do tính chất phức tạp và nguồn cung ứng của các cuộc tấn công trong trình duyệt nên các phương pháp tiếp cận dựa trên CSP truyền thống đã bỏ qua kiểu tấn công này.
Công ty cho biết: "Danh mục bảo mật của chúng tôi đã đầu tư vào việc đưa ra thị trường một sản phẩm bảo vệ chống skimming web là Page Integrity Manager. Sản phẩm này tập trung vào việc thực thi tập lệnh với khả năng hiển thị chưa từng có trong môi trường chạy theo thời gian thực. Nó thu thập thông tin về các tập lệnh khác nhau chạy trên trang web, các hoạt động khác mà chúng thực hiện và mối quan hệ giữa chúng với các tập lệnh khác trên trang web. Kết hợp dữ liệu này với phương pháp phát hiện đa lớp của chúng tôi - sử dụng các thuật toán heuristics, đánh giá mức rủi ro, AI và các yếu tố khác - cho phép Page Integrity Manager phát hiện các kiểu tấn công khác nhau từ phía máy khách với những sự tập trung cao vào trích xuất dữ liệu và các cuộc tấn công skimming".
