Tấn công eSkimming: Nguy hiểm rò rỉ dữ liệu nghiêm trọng

Các cuộc tấn công eSkimming, thường được biết đến với tên gọi Magecart, tiếp tục gây ảnh hưởng nghiêm trọng đến các trang web thương mại điện tử trên toàn cầu, đánh cắp dữ liệu thẻ thanh toán từ những khách hàng không nghi ngờ tại thời điểm thanh toán. Đây là một phương thức tinh vi dẫn đến rò rỉ dữ liệu nhạy cảm quy mô lớn.

Hiểu rõ về tấn công eSkimming và mối đe dọa mạng

Các chiến dịch độc hại này thực hiện bằng cách tiêm mã JavaScript vào các trang web đã bị xâm nhập. Mã độc này thu thập thông tin tài chính nhạy cảm khi người dùng hoàn tất giao dịch mua hàng.

Không giống như phần mềm độc hại truyền thống yêu cầu quyền truy cập hệ thống, eSkimming hoạt động hoàn toàn trong môi trường trình duyệt. Điều này khiến cho việc phát hiện và loại bỏ hoàn toàn trở nên đặc biệt khó khăn.

Cuộc tấn công đã trở nên ngày càng tinh vi hơn. Các tác nhân đe dọa liên tục cải tiến kỹ thuật để né tránh các biện pháp phòng thủ an ninh và duy trì quyền truy cập dai dẳng, ngay cả sau khi đã bị phát hiện ban đầu.

Cơ chế hoạt động và khai thác chuỗi cung ứng

Sự xuất hiện của tấn công eSkimming như một mối đe dọa mạng rộng khắp trùng hợp với sự gia tăng của các phụ thuộc script từ bên thứ ba trên các trang web hiện đại.

Kẻ tấn công khai thác các lỗ hổng chuỗi cung ứng này bằng cách thỏa hiệp các dịch vụ xử lý thanh toán, nhà cung cấp phân tích và nền tảng hỗ trợ khách hàng. Ví dụ về việc hacker xâm phạm tài khoản nhân viên có thể là điểm khởi đầu cho các cuộc tấn công như vậy, dẫn đến việc kiểm soát các script hợp pháp. Xem thêm tại: CybersecurityNews: Hackers Compromising Employee Accounts.

Sau khi một script độc hại được tiêm vào, nó âm thầm thu thập dữ liệu biểu mẫu và thông tin đăng nhập thanh toán. Những dữ liệu này sau đó được gửi đến các máy chủ do kẻ tấn công kiểm soát.

Phạm vi của cuộc tấn công không chỉ giới hạn ở các nhà bán lẻ lớn. Các doanh nghiệp nhỏ và vừa cũng dễ bị tổn thương, thường thiếu nguồn lực để triển khai các kiểm soát an ninh phía máy khách (client-side) mạnh mẽ.

Phân tích sự dai dẳng của các cuộc tấn công eSkimming

Các nhà phân tích từ Source Defense đã xác định các mô hình dai dẳng quan trọng thông qua một nghiên cứu kéo dài một năm. Nghiên cứu này bao gồm 550 trang web thương mại điện tử đã bị xâm nhập trước đây trên 68 quốc gia. Kết quả nghiên cứu đã thách thức các giả định thông thường về việc phục hồi hệ thống.

Nghiên cứu của họ tiết lộ rằng 18% số trang web đã bị nhiễm trước đó vẫn còn bị xâm nhập tích cực một năm sau khi phát hiện ban đầu. Bạn có thể tìm hiểu thêm chi tiết nghiên cứu tại: Source Defense: A Comprehensive Study and Analysis of E-Skimming Persistence.

Trong số các trường hợp nhiễm trùng dai dẳng đó, 57% liên quan đến các đường dẫn tấn công mới hoặc đã phát triển. Điều này cho thấy sự thích nghi tích cực của kẻ tấn công chứ không phải là các mối đe dọa còn sót lại một cách thụ động.

Chiến thuật thích nghi của kẻ tấn công trong các cuộc tấn công eSkimming

Khám phá đáng lo ngại nhất là cách kẻ tấn công chuyển đổi giữa các script bên thứ nhất và bên thứ ba trong các chu kỳ khắc phục.

Khi các tổ chức loại bỏ skimmer có thể nhìn thấy mà không giải quyết các lỗ hổng cơ bản, kẻ tấn công sẽ quay lại thông qua các vector khác.

Mười hai phần trăm các chiến dịch đã phát triển từ việc thực thi script bên thứ ba sang JavaScript bên thứ nhất. Mã độc này được nhúng sâu hơn vào logic cốt lõi của trang web. Ở đó, các kiểm soát an ninh truyền thống tỏ ra không hiệu quả. Ví dụ về cách thức các vấn đề như memory leak có thể bị lạm dụng để chèn mã sâu hơn có thể được tìm thấy tại: CybersecurityNews: Zap Memory Leak Issue.

Chiến lược thích nghi này cho thấy rằng kẻ tấn công chủ động theo dõi các phản ứng phòng thủ. Đồng thời, chúng cố ý tìm kiếm các điểm tiêm mã khó phát hiện hơn. Sự kiên trì của các cuộc tấn công eSkimming đòi hỏi một cách tiếp cận bảo mật toàn diện hơn.

Thách thức trong phát hiện và phòng ngừa tấn công eSkimming

Điểm yếu cấu trúc nằm ở điểm mù của trình duyệt. Hầu hết các công cụ bảo mật tập trung vào bảo vệ phía máy chủ (server-side). Các công cụ này bao gồm tường lửa, chính sách bảo mật nội dung (CSP) và các công cụ quét mã. Điều này khiến các mối đe dọa mạng phía máy khách gần như không được giám sát.

Việc dọn dẹp tại một thời điểm nhất định chỉ loại bỏ phần mềm độc hại có thể nhìn thấy. Tuy nhiên, nó không thể ngăn chặn tái nhiễm nếu thiếu khả năng hiển thị thời gian chạy liên tục.

Nhu cầu giám sát client-side theo thời gian thực để tăng cường an ninh mạng

Các tổ chức yêu cầu giám sát trình duyệt theo thời gian thực để phát hiện hành vi script trái phép. Đồng thời, họ cần chặn quyền truy cập dữ liệu đáng ngờ và thực thi các biện pháp kiểm soát trước khi dữ liệu bị rò rỉ ra ngoài.

Nếu không giải quyết khoảng trống này, sự dai dẳng của tấn công eSkimming sẽ vẫn là điều bình thường chứ không phải ngoại lệ. Việc tăng cường an ninh mạng ở cấp độ client-side là rất cần thiết.

Việc triển khai các giải pháp bảo mật tập trung vào runtime client-side là chìa khóa. Các giải pháp này cung cấp khả năng hiển thị và kiểm soát liên tục. Từ đó, chúng có thể ngăn chặn hiệu quả các cuộc tấn công eSkimming và bảo vệ dữ liệu nhạy cảm của khách hàng.