Hacker Triều Tiên tấn công website thương mại điện tử

Hacker có nguồn gốc Triều Tiên đang đưa các website thương mại điện tử vào tầm ngắm, có khả năng sẽ chèn mã độc và đánh cắp thông tin thanh toán.

Theo báo cáo từ công ty an ninh mạng SanSec (Hà Lan), các cuộc tấn công vào hàng loạt cửa hàng trực tuyến đã diễn ra từ tháng 5/2020. Trong số đó, nạn nhân nổi tiếng nhất là chuỗi cửa hàng phụ kiện Claire’s, bị tấn công trong tháng 6.

Các cuộc tấn công sẽ được đặt tên “ web skimming ”, “ e-skimming ” hay “ Magecart attack ”. Trong số đó, “ Magecart attack ” được dùng nhiều nhất.

Hacker Triều Tiên đang nhắm mục tiêu vào các website thương mại điện tử.

“Magecart” là cách gọi những hacker chuyên tấn công các trang thương mại điện tử, còn “Magecart attack” dùng để chỉ cách thức tấn công “đánh chặn” bằng cách thu thập thông tin thẻ tín dụng khi nạn nhân giao dịch tại các cửa hàng trực tuyến. Loại tấn công này từng xuất hiện từ 2015, được các nhóm hacker từ Nga và Indonesia sử dụng.

Chuyên gia của SanSec cho biết, các cuộc tấn công nhìn chung đơn giản về bản chất, nhưng cần đòi hỏi các kỹ năng và kỹ thuật tiên tiến để thực hiện. Mục tiêu của hacker là chiếm quyền truy cập máy chủ cửa hàng. Để làm điều này, chúng sẽ đánh lừa nạn nhân (chủ yếu là nhân viên bán lẻ) tải các tiện ích bên thứ ba, hoặc “dụ dỗ” click vào liên kết chứa mã độc bên trong tin nhắn hoặc email lừa đảo.

“Sau khi xâm nhập hệ thống, phần mềm độc hại chỉ nhằm vào trang thanh toán của website thương mại điện tử”, Willem de Groot, sáng lập SanSec, giải thích. “Mã độc sẽ âm thầm ghi lại các chi tiết về thẻ thanh toán khi người dùng nhập vào website . Dữ liệu này sau đó được chuyển đến một máy chủ từ xa, từ đó hacker sẽ thu thập và bán nó cho các thị trường ngầm”.

Cũng theo Groot, sau khi phân tích, SanSec nhận thấy nhiều liên kết tên miền và địa chỉ IP từng được các nhóm tin tặc có liên quan đến nhà nước Triều Tiên sử dụng để tấn công các mục tiêu khác trong quá khứ. Trong số đó, có Hidden Cobra, hay còn được biết đến với tên gọi khác là Lazarus Group – nhóm từng thực hiện nhiều cuộc tấn công vào nhiều ngân hàng, các tổ chức chính phủ, công ty nổi tiếng trên toàn cầu.

Theo Zdnet , phát hiện của SanSec cho thấy một bức tranh lớn hơn về các hoạt động tấn công mạng của các nhóm hacker được cho là có liên quan đến chính phủ Triều Tiên . “Trong khi nhiều nhóm được chính phủ ủng hộ chỉ tham gia vào các hoạt động gián điệp mạng, thì hacker Triều Tiên còn được giao nhiệm vụ làm tê liệt nền kinh tế, cũng như đánh cắp tiền bạc của các quốc gia khác”, trang này nhận xét.

Trước đó, hacker Triều Tiên được cho là tác giả của nhiều vụ đánh cắp thẻ ATM, dàn dựng các vụ lừa đảo tiền điện tử, các chiến dịch lừa đảo khi Covid-19 bùng phát… Riêng nhóm Lazarus Group “khét tiếng” từng hack Sony Pictures vào năm 2014, còn phát tán mã độc tống tiền WannaCry năm 2017 và nhiều cuộc tấn công nhằm vào các tổ chức chính phủ, hệ thống quốc phòng trên toàn thế giới .

Tài khoản Twitter của Bộ Ngoại giao Nga bị hack

Tin tặc chiếm quyền sử dụng Twitter của Bộ Ngoại giao Nga và rao bán dữ liệu thanh toán du lịch mà cơ quan này giữ với giá 600.000 USD.

Dòng trạng thái do hacker đăng tải trên một tài khoản Twitter của Bộ Ngoại giao Nga.

@MID_travel - tài khoản Twitter chính thức của Trung tâm xử lý khủng hoảng thuộc Bộ Ngoại giao Nga thường chỉ đăng các thông tin từ chính phủ hoặc các đại sứ quán của Nga cũng như cảnh báo, đưa ra lời khuyên cho các công dân Nga được an toàn ở nước ngoài. Tuy nhiên, ngày 2/7 vừa qua, tài khoản này bất ngờ đăng tải dòng trạng thái rao bán một cơ sở dữ liệu với giá 66 bitcoin (600.000 USD).

Tin tặc cho biết đang nắm trong tay thông tin chi tiết về thanh toán du lịch được thực hiện trong tháng 6 /2020 của Cổng thông tin dịch vụ công cộng Nga. Bất cứ ai trả số tiền nói trên sẽ nhận được toàn bộ số dữ liệu này.

Bộ Ngoại giao Nga đã giành lại được quyền kiểm soát tài khoản trong cùng ngày và đăng dòng trạng thái khẳng định các thông tin trước đó đều là lừa đảo. "Các thông tin được xuất bản trong ngày 2/7 của tài khoản này đều là giả mạo và chúng không liên quan gì đến Bộ Ngoại giao Nga. Hiện tài khoản đã hoạt động bình thường", thông báo có đoạn.

Forbes đã liên hệ Twitter và bộ phận phụ trách báo chí của chính phủ Nga tại Mỹ nhưng không được xác nhận được thông tin tài khoản bị hack.

Theo Grahamcluley, tài khoản @MID_travel bị hack có thể do người quản trị đã sơ hở trong việc bảo mật thông tin, là nạn nhân của một vụ tấn công lừa đảo hoặc đơn thuần là để lộ mật khẩu. Ngoài ra, cũng không có thông tin xác thực việc hacer thực sự nắm trong tay dữ liệu thanh toán của Cổng thông tin dịch vụ công cộng Nga.

Hacker lợi dụng lỗ hổng đã được vá từ nhiều năm trước trong Microsoft Office để phá đám doanh nghiệp Đây là lời nhắc nhở rằng chúng ta phải luôn cập nhật các phần mềm đang sử dụng lên phiên bản mới nhất để hạn chế nguy cơ về an ninh mạng. Dù các công ty phần mềm luôn định kỳ công bố các bản vá nhằm ngăn chặn tình trạng hacker lợi dụng các lỗ hổng tiềm ẩn, khách hàng lại thường...