Theo hãng bảo mật Symantec, tội phạm mạng có thể tổ chức những chiến dịch tấn công phức tạp để lấy cắp thông tin thẻ tín dụng trước khi bán chúng ra thị trường chợ đen. Hoặc chúng cũng có thể sử dụng dữ liệu lấy cắp từ dải từ của thẻ để tạo ra thẻ giả. Đây là một thị trường đầy tiềm năng mà ở đó các thẻ cá nhân có thể được bán tới giá 100 USD/chiếc.
Tuy nhiên, một điểm yếu của thẻ tín dụng giả là thời gian sử dụng không thể kéo dài. Các công ty thẻ sẽ rất nhanh chóng nhận ra những khoản chi tiêu bất thường và chủ sở hữu thẻ cũng vậy. Điều này có nghĩa là tội phạm mạng cần một nguồn cung cấp ổn định và dồi dào số thẻ mới.
Trong bối cảnh đó thì các cuộc tấn công nhắm tới hệ thống điểm thanh toán (POS) trở nên đầy hấp dẫn trong mắt hacker. Về hình thái tấn công, tất nhiên sẽ phức tạp hơn và đòi hỏi nhiều giai đoạn hơn so với đánh cắp thông tin thẻ tín dụng. Đầu tiên, những kẻ tấn công phải đạt được quyền truy nhập tới mạng của nạn nhân. Thông thường, kẻ tấn công sẽ tìm cách truy nhập vào một mạng liên kết, không trực tiếp tiếp xúc với môi trường dữ liệu của chủ thẻ.
Sau đó, những kẻ tấn công sẽ phải tìm kiếm khắp mạng đó để có được quyền truy nhập tới hệ thống POS đó. Tiếp theo, chúng sẽ cài đặt mã độc để lấy cắp dữ liệu từ hệ thống bị kiểm soát. Bởi vì hệ thống POS hầu như không có truy nhập mạng bên ngoài, dữ liệu bị lấy cắp sau đó thường sẽ được gửi tới một máy chủ nội bộ và cuối cùng sẽ được trích xuất từ mạng của nhà bán lẻ để gửi tới kẻ tấn công.
Có nhiều phương pháp mà một kẻ tấn công có thể sử dụng để giành được quyền truy nhập tới một mạng doanh nghiệp. Chúng có thể tìm những điểm yếu tồn tại trong hệ thống bên ngoài, chẳng hạn như sử dụng thủ thuật SQL injection trên một máy chủ Web hoặc tìm kiếm một thiết bị ngoại vi vẫn sử dụng mật khẩu mặc định của nhà sản xuất. Hoặc, chúng có thể tấn công mạng doanh nghiệp từ bên trong bằng cách gửi ra một email lừa đảo dạng spear phishing tới một cá nhân nằm trong tổ chức. Email lừa đảo này có thể chứa nội dung đính kèm độc hại hoặc một liên kết tới một trang web cho phép cài đặt một chương trình cửa hậu vào máy tính của nạn nhân.
Một khi đã thâm nhập được vào mạng doanh nghiệp, những kẻ tấn công sẽ cần phải giành được quyền truy nhập tới những mục tiêu quan trọng nhất của chúng – đó là hệ thống điểm thanh toán (POS). Những kẻ tấn công thường sử dụng hàng loạt những công cụ để nắm rõ hệ thống mạng, định vị các hệ thống bên trong môi trường dữ liệu của chủ sở hữu. Mặc dù chúng có thể sử dụng những lỗ hổng bảo mật hoặc những kỹ thuật khác để giành quyền truy nhập tới những hệ thống này, nhưng phương pháp đơn giản nhất và lại hiệu quả nhất đó là sử dụng thông tin truy nhập của chính người dùng. Thông tin người dùng có thể thu được thông qua những chương trình Trojan keylogg (lưu giữ các thao tác của người dùng trên máy), những chương trình khai thác mật khẩu, bẻ khóa, và/hoặc chương trình hiển thị lại nội dung người dùng truy nhập, hoặc thậm chí sử dụng bạo lực. Và cuối cùng, những thông tin truy nhập cấp độ quản trị sau đó có thể được tội phạm nắm giữ.
Từ đây, tội phạm mạng thậm chí có thể giành quyền kiểm soát bộ quản lý tên miền – cho phép chúng truy nhập với đủ quyền hành tới tất cả các máy tính trong một mạng. Một khi kiểm soát được mạng, những kẻ tấn công có thể tiếp cận tới môi trường dữ liệu của chủ thẻ thậm chí ngay cả khi nó nằm trong một hệ mạng phân lập (segmented-network), bằng cách sử dụng mạng và các đường truyền dữ liệu được thiết lập cho những yêu cầu kinh doanh xác định trước. Khi đã vào được môi trường dữ liệu của chủ thẻ, tội phạm mạng sau đó sẽ cài đặt mã độc cho phép chúng lấy cắp dữ liệu thẻ từ các hệ thống POS này.
Bởi vì kẻ tấn công đang nhắm tới một hệ thống POS và những cuộc tấn công kiểu này sẽ cần thời gian để thu thập dữ liệu, do vậy, chúng cần những đoạn mã này tồn tại lâu dài. Không giống như những lỗ hổng về dữ liệu khi hàng triệu bản ghi đều có thể được truy nhập ngay lập tức, các lỗ hổng ở hệ thống POS đòi hỏi những kẻ tấn công phải chờ đợi cho tới khi giao dịch xảy ra và từ đó chúng mới có thể thu thập dữ liệu theo thời gian thực, khi mỗi thẻ tín dụng được sử dụng. Chính vì điều này, việc phát hiện tấn công từ sớm có thể hạn chế mức độ thiệt hại. Việc duy trì mã độc thường xuyên có thể dễ dàng thực hiện bằng cách sử dụng những kỹ thuật đơn giản để đảm bảo nó luôn hoạt động và tự khởi động lại bất cứ khi nào hệ thống khởi động.
10:00 | 08/04/2020
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024