Tin tặc thực hiện các cuộc tấn công skimming dựa trên các website bằng cách đưa các mã JavaScript độc hại lên các trang web thương mại điện tử bằng cách khai thác các lỗ hổng trên các nền tảng như: Magento, PrestaShop, WordPress… hoặc tấn công thông qua các phương thức bảo mật kém.  

Các mã độc hại sẽ được kích hoạt ngay khi người dùng truy cập đến các trang thanh toán điện tử và tiến hành nhập chi tiết các thông tin của thẻ tín dụng hoặc thẻ ghi nợ để thanh toán cho các đơn hàng. Bất cứ thông tin gì được điền trên trang web đều bị tin tặc đánh cắp và sử dụng để thực hiện mua sắm hoặc bán dữ liệu.

Quy trình của cuộc tấn công skimming

Cách thức tấn công của tin tặc

Các nhà phân tích của Microsoft cho biết, ba phương pháp tấn công đang được tin tặc sử dụng phổ biến là: đưa các mã độc hại gắn kèm hình ảnh, nối chuỗi và giả mạo tập lệnh.

Đối với cách thức đưa các mã độc hại gắn kèm hình ảnh, tin tặc thực hiện tải các hình ảnh có chứa mã độc hại lên các máy chủ đích được ngụy trang dưới dạng một biểu tượng yêu thích. Tuy nhiên, chúng sẽ bao gồm một tập lệnh PHP với JavaScript được mã hóa base64. Microsoft giải thích rằng: “Việc chèn tập lệnh PHP vào tệp hình ảnh là một hành vi khá tinh vi vì theo mặc định, máy chủ web sẽ không chạy đoạn mã trên và như vậy sẽ để nó tự động tải mỗi khi truy cập trang web”.

Tập lệnh được tin tặc chèn vào sẽ thực thi để xác định trang web thanh toán và xác thực người dùng quản trị để truy cập trang web, sau đó phân phát biểu mẫu giả đến cho khách hàng.

Tập lệnh xác thực trạng thái người dùng quản trị

Với việc sử dụng phương pháp xáo trộn nối chuỗi, tin tặc thực hiện tải mã độc hại từ một tên miền đã được mã hóa base64 dưới sự kiểm soát của chúng bằng cách sử dụng các công cụ đã được cấy ghép trên trang web mục tiêu.

URL được tin tặc thực hiện mã hóa

Cuối cùng, với phương pháp tấn công giả mạo tập lệnh, hiện đang là xu hướng tấn công của skimming thông qua Google Analytics hoặc Meta Pixel - đây là hai công cụ theo dõi lượng truy cập được sử dụng rộng rãi trên hầu hết mọi trang web hiện nay.

Tin tặc sẽ thực hiện đưa các chuỗi được mã hóa base64 vào bên trong trình quản lý thẻ của Google nhằm giả mạo và đánh lừa quản trị viên bỏ qua việc kiểm tra và nghĩ rằng đó là một phần mã chuẩn của trang web.

Giả mạo mã của Google Analytics

Đối với Meta Pixel, tin tặc sẽ thực hiện bắt chước một số thông số phổ biến của plugin thực tế trong khi vẫn giữ URL độc hại đã được mã hóa sau đó chia thành nhiều chuỗi.

Giả mạo các chức năng có trong Meta Pixel

Microsoft cho biết, các tập lệnh có chứa mã độc không chỉ tải lên các dữ liệu độc hại mà còn có các cơ chế chống gỡ lỗi và không thể giải mã chúng để có thể biết thêm thông tin về các chức năng độc hại mà chúng gây ra.

Bảo vệ trước các cuộc tấn công skimming

Ngoài việc tích cực quét và tìm kiếm các lỗ hổng, quản trị viên cần phải đảm bảo rằng website đang chạy phiên bản mới nhất có sẵn của hệ thống quản lý (CMS) và plugin.

Từ quan điểm của khách hàng, chỉ có thể giảm thiểu thiệt hại của các cuộc tấn công skimming bằng cách sử dụng thẻ thanh toán dùng một lần, đặt giới hạn thanh toán nghiêm ngặt hoặc sử dụng các phương thức thanh toán điện tử khác.