យុទ្ធនាការវាយប្រហារ Web Skimming
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការលួចចូលគេហទំព័រទ្រង់ទ្រាយធំមួយ ដែលនៅតែសកម្មចាប់តាំងពីខែមករា ឆ្នាំ២០២២។ ប្រតិបត្តិការនេះផ្តោតលើអង្គការសហគ្រាសដែលពឹងផ្អែកលើបណ្តាញទូទាត់ប្រាក់សំខាន់ៗ រួមមាន American Express, Diners Club, Discover, JCB Co., Ltd., Mastercard និង UnionPay។ ក្រុមហ៊ុនដែលរួមបញ្ចូលសេវាកម្មទូទាត់ប្រាក់ទាំងនេះទៅក្នុងប្រព័ន្ធទូទាត់ប្រាក់តាមអ៊ីនធឺណិតរបស់ពួកគេត្រូវបានវាយតម្លៃថាមានហានិភ័យខ្ពស់បំផុត។
តារាងមាតិកា
ការស្កេនឌីជីថល និងការវិវត្តន៍របស់ Magecart
ការវាយប្រហារតាមប្រព័ន្ធឌីជីថល គឺជាទម្រង់មួយនៃការសម្របសម្រួលផ្នែកអតិថិជន ដែលក្នុងនោះ ជនគំរាមកំហែងចាក់ JavaScript ដែលមានគំនិតអាក្រក់ចូលទៅក្នុងគេហទំព័រពាណិជ្ជកម្មអេឡិចត្រូនិក និងវិបផតថលទូទាត់ប្រាក់ស្របច្បាប់។ កូដដែលចាក់បញ្ចូលនេះប្រមូលទិន្នន័យកាតឥណទាន និងព័ត៌មានផ្ទាល់ខ្លួនដោយស្ងាត់ៗ នៅពេលដែលអតិថិជនបញ្ចូលព័ត៌មានលម្អិតអំពីការទូទាត់របស់ពួកគេ។
សកម្មភាពនេះស្ថិតនៅក្រោមប្រភេទទូលំទូលាយជាងនេះ ដែលត្រូវបានគេស្គាល់ជាទូទៅថា Magecart។ ពាក្យនេះដើមឡើយបានពិពណ៌នាអំពីការប្រមូលផ្តុំដ៏រលុងនៃក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដែលផ្តោតលើគេហទំព័រពាណិជ្ជកម្មអេឡិចត្រូនិកដែលមានមូលដ្ឋានលើ Magento ប៉ុន្តែចាប់តាំងពីពេលនោះមកវាបានពង្រីកដើម្បីគ្របដណ្តប់ប្រតិបត្តិការ skimming នៅទូទាំងវេទិកា និងបច្ចេកវិទ្យាជាច្រើន។
ហេដ្ឋារចនាសម្ព័ន្ធដែលភ្ជាប់ទៅនឹងការគេចវេសពីទណ្ឌកម្ម
យុទ្ធនាការនេះត្រូវបានរកឃើញក្នុងអំឡុងពេលស៊ើបអង្កេតលើដែនគួរឱ្យសង្ស័យមួយដែលជាប់ទាក់ទងនឹង Stark Industries ដែលជាអ្នកផ្តល់សេវាបង្ហោះគេហទំព័រដ៏រឹងមាំមួយ ដែលត្រូវបានទណ្ឌកម្ម។ ក្រុមហ៊ុនមេរបស់ខ្លួនគឺ PQ.Hosting ក្រោយមកបានប្តូរឈ្មោះសេវាកម្មនេះទៅជា THE.Hosting ដែលឥឡូវនេះដំណើរការដោយអង្គភាពហូឡង់ WorkTitans BV ដែលត្រូវបានគេរាយការណ៍ថាជាមធ្យោបាយមួយដើម្បីគេចវេសពីទណ្ឌកម្ម។
ដូមេន cdn-cookie(dot)com ត្រូវបានគេរកឃើញថាបង្ហោះឯកសារ JavaScript ដែលមានភាពមិនច្បាស់លាស់យ៉ាងខ្លាំងដូចជា 'recorder.js' និង 'tab-gtm.js'។ ស្គ្រីបទាំងនេះត្រូវបានបង្កប់ទៅក្នុងហាងអនឡាញដែលរងការលួចចូល ជាកន្លែងដែលស្គ្រីបទាំងនេះអាចឱ្យមានការលួចចូលដោយសម្ងាត់តាមរយៈកាតឥណទាន។
លួចលាក់តាមរយៈការបំផ្លាញខ្លួនឯង និងការយល់ដឹងអំពីបរិស្ថាន
ឧបករណ៍លួចយកឯកសារនេះត្រូវបានរចនាឡើងដើម្បីគេចពីការរកឃើញដោយអ្នកគ្រប់គ្រងគេហទំព័រ។ វាត្រួតពិនិត្យគំរូវត្ថុឯកសារសម្រាប់វត្តមាននៃ 'wpadminbar' ដែលជាធាតុរបារឧបករណ៍ដែលអាចមើលឃើញនៅពេលដែលអ្នកគ្រប់គ្រង WordPress ឬអ្នកប្រើប្រាស់ដែលមានសិទ្ធិបានចូល។ ប្រសិនបើធាតុនេះត្រូវបានរកឃើញ មេរោគនឹងបង្កឱ្យមានទម្លាប់លុបដោយខ្លួនឯងភ្លាមៗ ដោយលុបខ្លួនវាចេញពីទំព័រ។
ដើម្បីរក្សាភាពស្ថិតស្ថេរក្នុងអំឡុងពេលរុករកធម្មតា skimmer ព្យាយាមប្រតិបត្តិរាល់ពេលដែល DOM របស់ទំព័រផ្លាស់ប្តូរ ដែលជាការកើតឡើងជាទូទៅក្នុងអំឡុងពេលអន្តរកម្មរបស់អ្នកប្រើប្រាស់នៅលើគេហទំព័រទំនើប។
ការធ្វើឱ្យ Stripe ក្លាយជាអាវុធជាមួយនឹងការរៀបចំចំណុចប្រទាក់
កូដព្យាបាទមានតក្កវិជ្ជាជាក់លាក់ដែលត្រូវបានរចនាឡើងដើម្បីកេងចំណេញពីលំហូរទូទាត់ដែលមានមូលដ្ឋានលើ Stripe។ នៅពេលដែល Stripe ត្រូវបានជ្រើសរើស skimmer នឹងពិនិត្យមើលធាតុ localStorage ដែលមានឈ្មោះថា 'wc_cart_hash'។ ប្រសិនបើតម្លៃមិនមានទេ វានឹងបង្កើតកូនសោ ហើយរៀបចំដើម្បីប្រមូលទិន្នន័យ។
នៅចំណុចនោះ មេរោគនឹងជំនួសទម្រង់ទូទាត់ប្រាក់ Stripe ស្របច្បាប់ជាមួយនឹងទម្រង់ក្លែងក្លាយ។ តាមរយៈការរៀបចំចំណុចប្រទាក់ដ៏ប៉ិនប្រសប់ ជនរងគ្រោះត្រូវបានបញ្ឆោតឱ្យបញ្ចូលលេខកាត កាលបរិច្ឆេទផុតកំណត់ និង CVC របស់ពួកគេទៅក្នុងទម្រង់ក្លែងក្លាយ។
បន្ទាប់ពីការដាក់ស្នើរួច ទំព័រនឹងបង្ហាញសារកំហុស ដែលធ្វើឱ្យវាមើលទៅដូចជាការទូទាត់បានបរាជ័យដោយសារតែព័ត៌មានមិនត្រឹមត្រូវ ជាជាងការជ្រៀតជ្រែកដែលមានគំនិតអាក្រក់។
ការលួចទិន្នន័យ ការលួចយកទិន្នន័យ និងការសម្អាតទិន្នន័យ
ព័ត៌មានដែលត្រូវបានគេលួចនេះលើសពីព័ត៌មានលម្អិតនៃកាតទូទាត់ ហើយរួមមានឈ្មោះពេញ លេខទូរស័ព្ទ អាសយដ្ឋានអ៊ីមែល និងអាសយដ្ឋានដឹកជញ្ជូន។ ឧបករណ៍ស្គីមមើរបញ្ជូនទិន្នន័យនេះតាមរយៈសំណើ HTTP POST ទៅកាន់ lasorie(dot)com។
នៅពេលដែលដំណើរការច្រោះចេញត្រូវបានបញ្ចប់ មេរោគនឹងលុបទម្រង់ក្លែងក្លាយចេញ ស្ដារចំណុចប្រទាក់ Stripe ស្របច្បាប់ឡើងវិញ និងលុបដាននៃសកម្មភាពរបស់វាចេញពីទំព័រទូទាត់ប្រាក់។ បន្ទាប់មកវាកំណត់ 'wc_cart_hash' ទៅ 'true' ដើម្បីធានាថា skimmer មិនដំណើរការម្តងទៀតសម្រាប់ជនរងគ្រោះដដែលនោះទេ។
ខ្សែសង្វាក់វាយប្រហារដែលបង្កើតឡើងនៅលើចំណេះដឹងស៊ីជម្រៅអំពីវេទិកា
ក្រុមអ្នកស្រាវជ្រាវកត់សម្គាល់ថា អ្នកគំរាមកំហែងបង្ហាញពីការយល់ដឹងកម្រិតខ្ពស់អំពីផ្នែកខាងក្នុងរបស់ WordPress និងទាញយកអត្ថប្រយោជន៍ពីលក្ខណៈពិសេសនៃវេទិកាដែលមិនសូវស្គាល់ជាផ្នែកមួយនៃលំហូរវាយប្រហារ។ ជម្រៅនៃចំណេះដឹងនេះ រួមផ្សំជាមួយនឹងបច្ចេកទេសគេចវេស និងការរៀបចំចំណុចប្រទាក់ដ៏ទំនើប គូសបញ្ជាក់ពីភាពចាស់ទុំ និងការតស៊ូរបស់ប្រតិបត្តិការ។
