Vào tháng 3 20th, chuỗi bán lẻ phụ kiện Claire's được các cô gái trẻ trên khắp thế giới yêu thích đã đưa ra quyết định hợp lý là đóng cửa tất cả các cửa hàng thực tế của mình để đối phó với đại dịch Virus Corona Covid-19.
Bất cứ ai muốn mua đồ trang sức, đồ trang điểm hoặc phụ kiện tóc sẽ không phải đến trung tâm mua sắm mà thay vào đó hãy ghé thăm cửa hàng trực tuyến của Claire.
Chắc chắn là một mối phiền toái. Nhưng cũng là cơ hội nếu bạn là một hacker hiểm độc.
Là nhà nghiên cứu bảo mật Willem de Groot của Sansec báo cáo, trong vòng 24 giờ kể từ khi các cửa hàng truyền thống của Claire đóng cửa hoạt động, ai đó đã đăng ký tên miền claires-assets.com.
Miền này sau đó được sử dụng vào tháng sau để lọc thông tin được nhập trên các trang thanh toán của cửa hàng trực tuyến của Claire và thương hiệu chị em Icing của nó.
Tin tặc đã giành được quyền truy cập ghi vào trang web của Claire và chèn một đoạn mã JavaScript hợp pháp khác được trang web sử dụng với mã bổ sung để lướt qua khách hàng và chi tiết thanh toán đầy đủ từ người mua trực tuyến ngay khi họ cố gắng “thanh toán”.
Thật không may, những cuộc tấn công như thế này không phải là hiếm. Nổi tiếng nhất là mã độc có tên Magecart đã được sử dụng để đánh cắp thông tin nhạy cảm từ những người dùng Internet không nghi ngờ.
Điều nguy hiểm trong cuộc tấn công Magecart là sẽ không có vấn đề gì nếu một công ty không lưu trữ tất cả chi tiết thanh toán thẻ tín dụng của bạn (chẳng hạn như mã bảo mật CVV của bạn). Cuộc tấn công Magecart cũng không cần phải đột nhập vào cơ sở dữ liệu của công ty hoặc bẻ khóa mã hóa phức tạp để trích xuất thông tin nhạy cảm.
Thay vào đó, tập lệnh độc hại của Magecart có thể ẩn nấp trên trang web của công ty, xem thông tin được khách hàng nhập vào biểu mẫu thanh toán và gửi cho tin tặc đang chờ sẵn.
Các công ty có khách hàng bị ảnh hưởng bởi các cuộc tấn công Magecart trước đây bao gồm Ticketmaster, British Airways, Thức ăn, Umbro, Tầm nhìn trực tiếp, Newegg, Betty mồ hôi, SHEIN, NutribONS, Các American Cancer Society… Và nhiều nhiều hơn nữa.
Thông thường, các cuộc tấn công này được dàn dựng thông qua các cuộc tấn công “chuỗi cung ứng”, trong đó tin tặc đầu độc tập lệnh của bên thứ ba được trang web sử dụng và do đó không cần phải vi phạm hệ thống phòng thủ của chính trang web để đánh cắp của khách hàng khi họ mua sắm.
Tuy nhiên, trong trường hợp của Claire, có vẻ như tin tặc đã thực sự giành được quyền truy cập vào cơ sở hạ tầng của cửa hàng trực tuyến.
Điều này đặt ra một số câu hỏi thú vị.
Thứ nhất, làm thế nào tin tặc có thể truy cập vào trang web để cài mã độc? Họ có khai thác lỗ hổng trên trang web không, nhân viên có bị lừa đảo hay đây là một phần của hoạt động khai thác rộng rãi hơn cơ sở hạ tầng của Claire?
Câu hỏi tiếp theo rõ ràng tiếp theo là Claire đã làm gì để đảm bảo rằng hành vi vi phạm tương tự không xảy ra nữa?
Trong một tuyên bố, công ty nói rằng sau khi được Sansec thông báo về vi phạm an ninh, họ đã xóa mã vi phạm.
“Vào thứ Sáu, chúng tôi đã xác định được một vấn đề liên quan đến nền tảng thương mại điện tử của chúng tôi và đã hành động ngay lập tức để điều tra và giải quyết vấn đề đó. Cuộc điều tra của chúng tôi đã xác định việc chèn mã trái phép vào nền tảng thương mại điện tử của chúng tôi được thiết kế để lấy dữ liệu thẻ thanh toán do khách hàng nhập trong quá trình thanh toán. Chúng tôi đã xóa mã đó và thực hiện các biện pháp bổ sung để tăng cường tính bảo mật cho nền tảng của chúng tôi. Chúng tôi đang nỗ lực làm việc để xác định các giao dịch có liên quan để có thể thông báo cho những cá nhân đó.”
Thật tốt khi thấy hành động đã được thực hiện và khách hàng sẽ được thông báo, nhưng điều không nên bỏ qua là một số cửa hàng trực tuyến đã bị ám ảnh bởi tình trạng lây nhiễm lặp lại. Ví dụ, nghiên cứu của Willem de Groot đã đã cảnh báo trước đó rằng 20% người bán bị xâm phạm bởi Magecart nhận thấy cửa hàng trực tuyến của họ bị lây nhiễm lại trong vòng vài ngày.
Và cuối cùng, điều gì sẽ xảy ra trong khoảng thời gian khoảng bốn tuần kể từ khi đăng ký tên miền claires-assets.com cho đến khi hacker bắt đầu cuộc tấn công lướt web nhằm vào khách hàng hoặc của Claire.
Tất cả các bằng chứng đều chỉ ra nỗ lực quyết tâm của tin tặc nhằm tìm ra điểm yếu của Claire có thể khai thác để cài mã. Đối với tôi, có vẻ như bọn tội phạm đã biết rằng với việc đóng cửa các cửa hàng trong trung tâm mua sắm, lượng mua hàng trực tuyến sẽ tăng lên… và đã quyết tâm lợi dụng lệnh phong tỏa bán lẻ để lấp đầy túi của chúng.
Một số nhà bán lẻ ở một số quốc gia đang bắt đầu thực hiện các bước thăm dò để dỡ bỏ lệnh phong tỏa, mở cửa trở lại cho người mua hàng. Sẽ là khôn ngoan nếu không tiếp tục theo dõi cẩn thận các trang web của mình để phát hiện các cuộc tấn công lướt web giống như cuộc tấn công của Claire.
