Mới đây, các nhà nghiên cứu đã công bố một báo cáo liên quan tới việc tin tặc khai thác dịch vụ Google Analytics để lén lút đánh cắp thông tin thẻ tín dụng từ các trang thương mại điện tử bị nhiễm mã độc.
Theo một số báo cáo từ PerimeterX, Kaspersky, và Sansec, những kẻ tấn công này đã chèn mã code đánh cắp dữ liệu trên các trang web bị xâm phạm, kết hợp với một mã theo dõi (tracking code) được tạo bởi Google Analytics cho tài khoản riêng để trích xuất và đánh cắp thông tin thanh toán được nhập bởi chính người dùng, ngay cả khi chính sách bảo mật nội dung (CSP) đang được thực thi để bảo mật website tối đa.
“Những kẻ tấn công này chèn mã độc vào các trang web. Mã độc này sau đó sẽ thu thập tất cả các dữ liệu do người dùng nhập, và gửi nó qua Analytics. Do đó, kẻ tấn công có thể truy cập dữ liệu bị đánh cắp trong chính tài khoản Google Analytics của chúng,” Kaspersky cho biết trong một báo cáo được công bố hôm qua.
Công ty an ninh mạng này còn cho biết họ đã tìm thấy khoảng hai chục trang web bị xâm phạm trên khắp châu Âu, Bắc và Nam Mỹ. Các website này chuyên kinh doanh các thiết bị kỹ thuật số, mỹ phẩm, thực phẩm, và phụ tùng thay thế.
Qua mắt Chính sách bảo mật nội dung (CSP)
Cuộc tấn công này lợi dụng thực tế rằng các trang web thương mại điện tử thường sử dụng dịch vụ phân tích website của Google để theo dõi lưu lượng khách truy cập. Và vì vậy, các tên miền Google Analytics liên kết với các trang web này sẽ được chấp thuận vào danh sách trắng (whitelist). Do đó, nó vượt qua được khâu xác thực của chính sách bảo mật nội dung (CSP).
CSP là một lớp bảo mật bổ sung giúp phát hiện và giảm thiểu các mối đe dọa xuất phát từ các lỗ hổng cross-site scripting và các phương thức tấn công chèn mã khác, bao gồm cả các phương thức được sử dụng thường xuyên bởi nhóm tin tặc Magecart.
Tính năng bảo mật này cho phép các nhà quản trị web (webmaster hay website administrator) xác định được một tập hợp tên miền mà trình duyệt web được phép tương tác trên một URL cụ thể, do đó có thể ngăn chặn việc thực thi mã không đáng tin.
“Gốc rễ của vấn đề là hệ thống bảo mật của CSP không đủ chi tiết và chặt chẽ. Để có thể nhận ra và cho dừng yêu cầu JavaScript độc hại ở trên thì cần phải có các giải pháp hiển thị nâng cao để phát hiện được nhanh chóng hành vi truy cập trái phép và đánh cắp dữ liệu nhạy cảm của người dùng (trong trường hợp này là địa chỉ email và mật khẩu của người dùng),” Amir Shakes phó chủ tịch bộ phận nghiên cứu của PerimeterX cho biết.
Để đánh cắp dữ liệu bằng kỹ thuật này, tất cả những gì kẻ tấn công cần là một đoạn code JavaScript giúp truyền đi các dữ liệu đã được thu thập như các thông tin đăng nhập và thông tin thanh toán, và thông qua một event và các parameter khác (tham số) mà Google Analytics sử dụng để nhận biết các hoạt động khác nhau được thực thi trên trang web.
“Quản trị viên viết *.google-analytics.com vào tiêu đề Content-Security-Policy (được sử dụng để liệt kê các tài nguyên, từ đó bộ mã code của bên thứ ba có thể được tải xuống), để cho phép dịch vụ này thu thập dữ liệu. Hơn nữa, cuộc tấn công này vẫn có thể thực hiện mà không cần tải mã code từ các nguồn bên ngoài,” Kaspersky lưu ý.
Để khiến cuộc tấn công khó bị phát giác hơn, những kẻ tấn công này còn thận trọng kiểm tra xem liệu chế độ nhà phát triển có đang bật trong trình duyệt của khách truy cập hay không, và chúng chỉ tiến hành tấn công khi đã chắc chắn rằng tính năng này đã bị tắt (developer mode – một tính năng thường được sử dụng để phát hiện các yêu cầu mạng và lỗi bảo mật).
Một chiến dịch tấn công mới diễn ra từ tháng 3
Một báo cáo riêng được phát hành hôm qua bởi Sansec – một công ty có trụ sở tại Hà Lan chuyên theo dõi và phân tích các cuộc tấn công digital skimming, đã tiết lộ rằng công ty này đã phát hiện ra một chiến dịch tấn công tương tự từ ngày 17 tháng 3. Chiến dịch này đã lây truyền mã độc trên một số cửa hàng trực tuyến bằng cách sử dụng một mã JavaScript được lưu trữ trên Firebase của Google.
Để che giấu, kẻ tấn công đã tạo một iFrame tạm thời để tải một tài khoản Google Analytics do chúng kiểm soát. Thông tin thẻ tín dụng được nhập trên các form thanh toán sau đó sẽ bị mã hóa và tự động gửi đến bảng điều khiển (the analytics console) của kẻ tấn công. Và cuối cùng, các thông tin này sẽ được khôi phục bằng một khóa mã hóa đã được sử dụng trước đó.
Việc sử dụng rộng rãi Google Analytics trong các cuộc tấn công này sẽ khiến các biện pháp bảo mật như CSP không thể hoạt động nếu kẻ tấn công lợi dụng một tên miền đã được chấp thuận để đánh cắp thông tin nhạy cảm của người dùng.
“Tuy nhiên, vấn đề này vẫn có thể được khắc phục nếu hệ thống có một URL có khả năng thích ứng cao hơn, bằng cách thêm ID vào URL hoặc tên miền phụ để cho phép quản trị viên đặt quy tắc CSP nhằm hạn chế việc trích xuất và đánh cắp dữ liệu sang các tài khoản khác”, Shaked kết luận.
“Một giải pháp lâu dài hơn giúp tăng cường bảo mật cho CSP là thực thi XHR proxy. Nó sẽ tạo ra một tường lửa website (WAF – Web application firewall) ở phía khách hàng giúp CSP có thể kiểm soát được lượng thông tin, dữ liệu được phép truyền đi trong một trường dữ liệu cụ thể.”
Không may là, với tư cách là một khách hàng, người dùng cũng không thể làm gì nhiều để bảo vệ bản thân khỏi các cuộc tấn công formjacking. Bật developer mode trong trình duyệt có thể giúp ích phần nào khi mua hàng trực tuyến.
Tuy nhiên, điều quan trọng là người dùng vẫn phải luôn cảnh giác với mọi dấu hiệu liên quan đến việc mua hàng trái phép hay đánh cắp thông tin xác thực.
Thêm bình luận