Hacker có nguồn gốc Triều Tiên đang đưa các website thương mại điện tử vào tầm ngắm, có khả năng sẽ chèn mã độc và đánh cắp thông tin thanh toán.
Theo báo cáo từ công ty an ninh mạng SanSec (Hà Lan), các cuộc tấn công vào hàng loạt cửa hàng trực tuyến đã diễn ra từ tháng 5/2020. Trong số đó, nạn nhân nổi tiếng nhất là chuỗi cửa hàng phụ kiện Claire’s, bị tấn công trong tháng 6.
Các cuộc tấn công sẽ được đặt tên “web skimming”, “e-skimming” hay “Magecart attack”. Trong số đó, “Magecart attack” được dùng nhiều nhất.
Hacker Triều Tiên đang nhắm mục tiêu vào các website thương mại điện tử. Ảnh: Reddit.
“Magecart” là cách gọi những hacker chuyên tấn công các trang thương mại điện tử, còn “Magecart attack” dùng để chỉ cách thức tấn công “đánh chặn” bằng cách thu thập thông tin thẻ tín dụng khi nạn nhân giao dịch tại các cửa hàng trực tuyến. Loại tấn công này từng xuất hiện từ 2015, được các nhóm hacker từ Nga và Indonesia sử dụng.
Chuyên gia của SanSec cho biết, các cuộc tấn công nhìn chung đơn giản về bản chất, nhưng cần đòi hỏi các kỹ năng và kỹ thuật tiên tiến để thực hiện. Mục tiêu của hacker là chiếm quyền truy cập máy chủ cửa hàng. Để làm điều này, chúng sẽ đánh lừa nạn nhân (chủ yếu là nhân viên bán lẻ) tải các tiện ích bên thứ ba, hoặc “dụ dỗ” click vào liên kết chứa mã độc bên trong tin nhắn hoặc email lừa đảo.
“Sau khi xâm nhập hệ thống, phần mềm độc hại chỉ nhằm vào trang thanh toán của website thương mại điện tử”, Willem de Groot, sáng lập SanSec, giải thích. “Mã độc sẽ âm thầm ghi lại các chi tiết về thẻ thanh toán khi người dùng nhập vào website. Dữ liệu này sau đó được chuyển đến một máy chủ từ xa, từ đó hacker sẽ thu thập và bán nó cho các thị trường ngầm”.
Cũng theo Groot, sau khi phân tích, SanSec nhận thấy nhiều liên kết tên miền và địa chỉ IP từng được các nhóm tin tặc có liên quan đến nhà nước Triều Tiên sử dụng để tấn công các mục tiêu khác trong quá khứ. Trong số đó, có Hidden Cobra, hay còn được biết đến với tên gọi khác là Lazarus Group – nhóm từng thực hiện nhiều cuộc tấn công vào nhiều ngân hàng, các tổ chức chính phủ, công ty nổi tiếng trên toàn cầu.
Theo Zdnet, phát hiện của SanSec cho thấy một bức tranh lớn hơn về các hoạt động tấn công mạng của các nhóm hacker được cho là có liên quan đến chính phủ Triều Tiên. “Trong khi nhiều nhóm được chính phủ ủng hộ chỉ tham gia vào các hoạt động gián điệp mạng, thì hacker Triều Tiên còn được giao nhiệm vụ làm tê liệt nền kinh tế, cũng như đánh cắp tiền bạc của các quốc gia khác”, trang này nhận xét.
Trước đó, hacker Triều Tiên được cho là tác giả của nhiều vụ đánh cắp thẻ ATM, dàn dựng các vụ lừa đảo tiền điện tử, các chiến dịch lừa đảo khi Covid-19 bùng phát… Riêng nhóm Lazarus Group “khét tiếng” từng hack Sony Pictures vào năm 2014, còn phát tán mã độc tống tiền WannaCry năm 2017 và nhiều cuộc tấn công nhằm vào các tổ chức chính phủ, hệ thống quốc phòng trên toàn thế giới.
Bảo Lâm
