พบการโจมตี MageCart ทำให้ข้อมูลบัตรเครดิตบนเว็บ VisionDirect รั่วไหล

มีการแจ้งเตือนว่าอาจมีการขโมยข้อมูลผู้ใช้ที่ทำการล็อคอิน หรือชำระเงินออนไลน์บนเว็บ VisionDirect (ร้านค้าคอนแท็คเลนส์ออนไลน์รายใหญ่ในยุโรป) ในระหว่างวันที่ 3-8 พฤศจิกายนที่ผ่านมา ซึ่งข้อมูลนั้นประกอบด้วยชื่อ ที่อยู่ในการจัดส่งบิล บัญชีอีเมล รหัสผ่าน เบอร์โทรศัพท์ และข้อมูลการใช้จ่ายผ่านบัตรเครดิต รวมไปถึงหมายเลขบัตรเครดิต หมายเลข CVV และวันหมดอายุของบัตรเครดิต

การข้อมูลข้อมูลนี้เกิดจากการโจมตีแบบ MageCart สำหรับวิธีการนั้น เริ่มจาก แฮกเกอร์จะแทรกสคริปต์ JavaScript ลงไปในหน้า URL ต่างๆ ของเว็บที่สร้างขึ้นมาเพื่อหลอกว่าเป็น Google Analytics และเมื่อผู้ใช้ทำการกรอกข้อมูลลงในแบบฟอร์ม หรือกดยืนยัน สคริปต์ที่แฮกเกอร์สร้างขึ้นจะทำการเก็บข้อมูลการชำระเงิน และข้อมูลบัญชีธนาคารของผู้ใช้ทันที

โค้ดที่แฮกเกอร์สร้างขึ้นมานั้นอาจดูเหมือนโค้ดของ Google Analytics แต่ดูให้ดีๆ โดเมนที่ปรากฏนั้นไม่ใช่โดเมนของ Google เพราะโดเมนที่แฮกเกอร์ใช้นั้นเป็น g-analytics[.]com ซึ่งเป็นโดเมนเพื่อใช้ขโมยข้อมูลการชำระเงิน และข้อมูลบัญชีธนาคาร


ที่มาภาพ: Bleeping Computer

นอกจากโดเมนที่ยกตัวอย่างมานี้ ยังมีโดเมน google-anaiytic[.]com และ msn-analytics[.]com อีกด้วย

Willem de Groot นักวิจัยด้านความปลอดภัยเป็นผู้พบการโจมตีแบบ MageCart ในช่วงต้นเดือนกันยายน ยังกล่าวอีกว่านอกจากโดเมน visiondirect.co.uk แล้ว คาดว่าโดเมนนี้ที่ใช้ในประเทศอื่นๆ อาจโดนด้วยเช่นกัน

สคริปต์ที่แฮกเกอร์สร้างนั้นอาจจะดูงงหน่อยๆ แต่มีส่วนหนึ่งในลิสต์ของสตริงที่สามารถถอดรหัสสคริปต์ได้ง่ายๆ ภายในสคริปต์นั้นจะเห็นสตริงต่างๆ ที่แฮกเกอร์คอยดักจับอยู่เช่น การชำระเงิน การ checkout ผู้ดูแลระบบ การ Login รหัสผ่าน บัญชีผู้ใช้ และสินค้าในตะกร้า


ที่มาภาพ: Bleeping Computer

เมื่อไม่นานมานี้ก็ยังพบการโจมตีนี้บนร้านค้าออนไลน์ Infowars.com อีกด้วย รูปแบบการโจมตีนั้น ก็เหมือนกับที่ visiondirect โดน คือมีการแทรกสคริปต์ที่เป็นอันตราย โดยหลอกว่าเป็นโค้ดของ Google Analytics แต่โดเมนที่แฮกเกอร์ใช้ คือ google-analyitics[.]org

เจ้าของ Infowars แจ้งว่าการโจมตีในครั้งนี้อาจจะมาจากกลุ่มแฮกเกอร์ที่ชื่อว่า “Big Tech” ของจีน และกลุ่ม U.S. Democratic

สำหรับทาง VisionDirect ได้ออกมาแจ้งเกี่ยวกับการโจมตีในครั้งนี้ว่า การโจมตีในครั้งนี้มีผลกับผู้ใช้ที่ทำการล็อคอินด้วยบัญชีของตนเอง และทำการอัปเดตหรือป้อนข้อมูลในช่วงเวลาที่มีการโจมตีเกิดขึ้น สำหรับผู้ที่เข้าชมเว็บหรือใช้วิธีออกใบแจ้งหนี้จะไม่ได้รับผลกระทบ ส่วนผู้ใช้ที่ชำระเงินผ่านทาง PayPal นั้นก็ไม่ได้รับผลกระทบจากการโจมตีนี้เช่นกัน

สำหรับรายละเอียดเกี่ยวกับการโจมตีแบบ MageCart สามารถดูได้ที่หัวข้อ:
A Google Analytics thief uncovered

ที่มา: Bleeping Computer