Các hình thức tấn công bằng việc giả mảo các cửa hàng trực tuyến đang gia tăng vào năm 2022. Mới đây, các nhóm tin tặc Trung Quốc đã sử dụng bản sao của các cửa hàng trực tuyến có thương hiệu nổi tiếng, nhắm mục tiêu người dùng trên toàn thế giới để thực hiện tấn công và lừa đảo. Mục tiêu của chiến dịch lớn này là các cửa hàng trực tuyến nằm ở các quốc gia khác nhau, bao gồm Bồ Đào Nha, Pháp, Tây Ban Nha, Ý, Chile, Mexico, Columbia,... Chiến dịch này bắt đầu hoạt động từ cuối năm 2020 nhưng và đã đạt được hiều quả cao vào đầu năm 2022, với hàng nghìn nạn nhân bị ảnh hưởng.

Hình 1. Số lượng các cửa hàng trực tuyến giả mạo có sẵn trên các máy chủ được định vị địa lý ở Hoa Kỳ, Hà Lan và Thổ Nhĩ Kỳ (dữ liệu tính đến ngày 21/3/2022)

Theo nghiên cứu đánh giá có tới 617 nền tảng mua sắm đang hoạt động được xác định trên toàn thế giới, trong đó 562 nền tảng được tạo ra vào năm 2022. Cụ thể, các máy chủ được đặt tại ba quốc gia: Mỹ, Hà Lan và Thổ Nhĩ Kỳ. Bên cạnh đó, các máy chủ và cửa hàng trực tuyến khác cũng đang được xác định trong quá trình nghiên cứu.

Sơ đồ tấn công của chiến dịch này được trình bày trong Hình 2, với các bước và hành động khác nhau mà tin tặc đang tiến hành thực hiện.

Hình 2. Sơ đồ chiến dịch tấn công của tin tặc Trung Quốc

Tin tặc thực hiện một chiến dịch mới thường bắt đầu bằng việc thực hiện thiết lập tên miền độc hại ở đầu danh sách tìm kiếm của Google thông qua quảng cáo kỹ thuật số (Google Ads), như trong Hình 2 có thể thấy được đường dẫn đến cửa hàng quần áo Lefties (một thương hiệu thời trang phổ biến ở Bồ Đào Nha). Sau một vài ngày, người dùng bị tấn công sẽ hiển thị URL độc hại ở đầu danh sách tìm kiếm. Trong một số trường hợp cụ thể, các đường dẫn độc hại cũng được tìm thấy trên các nền tảng truyền thông xã hội như Instagram và Facebook.

Nội dung của các trang web độc hại sẽ giống như của các cửa hàng chính thức - dựa trên Hệ thống quản lý nội dung tĩnh (CMS) và API PHP kết hợp với MySQL ở chế độ nền. Một số thông tin liên quan đến CMS tĩnh có thể được tìm thấy trên kho lưu trữ GitHub từ tin tặc. Cụ thể, tin tặc đã nỗ lực phát triển một nền tảng chung có thể phục vụ một hoạt động ở quy mô lớn, với việc có những chỉnh sửa nhỏ về hình ảnh và mẫu sẽ cho phép sử dụng lại cho các cửa hàng trực tuyến khác nhau. Khi đó, tất cả các cửa hàng được sử dụng cùng một mã nhưng với các mẫu khác nhau giống với nhãn hiệu mục tiêu. Như đã đề cập, cửa hàng cũng được trang bị một API giao tiếp với một cụm cơ sở dữ liệu MySQL, nơi lưu trữ tất cả dữ liệu của nạn nhân, bao gồm: Tên (họ và tên), địa chỉ đầy đủ (đường phố, mã zip, thành phố và quốc gia), số điện thoại di động, email, mật khẩu, thông tin thẻ tín dụng (số, ngày tháng và CVV), thông tin chi tiết về đơn đặt hàng và mã theo dõi của gói hàng.

Như thường lệ, Thông tin nhận dạng cá nhân (PII) này có thể được tin tặc sử dụng sau này để tận dụng trong các chiến dịch khác. Để ngăn chặn loại tình huống này, securityaffairs đã cung cấp một công cụ cho phép người dùng xác nhận xem thông tin của mình có nằm trong tay kẻ xấu hay không (link kiểm tra thông tin: https://tools.seguranca-informatica.pt/st0r3_sc4m_l34k_ch3ck3r/index.php).

Hình 3. Công cụ kiểm tra thông tin do securityaffairs cung cấp

Ngoài ra, các trang web phần mềm trung gian được tin tặc lưu trữ trên một miền khác giúp nhận dữ liệu trong quá trình thanh toán và thực hiện hoàn tất giao dịch trực tuyến trên một số hệ thống thanh toán trực tuyến như Stripe. Nếu giao dịch được hoàn tất thành công, thông báo phản hồi từ hệ thống thanh toán sẽ được gửi đến nền tảng phần mềm trung gian chịu trách nhiệm gửi phản hồi lên địa chỉ web giả mạo để thực hiện giao dịch thanh toán. Sau đó, một mã theo dõi được gửi đến nạn nhân để theo dõi gói hàng.

Nền tảng theo dõi gói hàng cũng được tạo ra bởi tin tặc và nó được nhúng một phần vào nền tảng hợp pháp: 17track.net. Toàn bộ quá trình này nhằm tạo ra một kịch bản được kiểm soát hoàn toàn và rất gần với một hệ thống hợp pháp, nhưng cuối cùng, nạn nhân sẽ thực sự nhận được gói hàng không phải quần áo mà là hàng không sử dụng được.