ក្រុមអ្នកស្រាវជ្រាវមកពីសហគ្រាសសន្តិសុខអ៊ីនធឺរណិត NetLab របស់ក្រុមហ៊ុនចិន Qihoo 360 បង្ហើបឱ្យដឹងពីព័ត៌មានលម្អិតទាក់ទងនឹងគម្រោងការវាយប្រហារការបន្តលួចកាតឥណទានដែលកំពុងលួចព័ត៌មានកាតបង់ប្រាក់របស់អតិថិជនដែលទស្សនាគេហទំព័រពាណិជ្ជកម្មជាង ១០៥ ។ក្នុងអំឡុងពេលត្រួតពិនិត្យដែនដែលមានគំនិតអាក្រក់ដែលមាននៅក្នុងគេហទំព័រ www.magento-analytics[.]com អស់រយៈពេលជាង ៧ខែកន្លងមកនេះ អ្នកស្រាវជ្រាវរកឃើញថាអ្នកវាយប្រហារចាក់បញ្ចូលស្គ្រីប JS ដែលមានគ្រោះថ្នាក់នៅលើគេហទំព័រនេះរាប់រយលើគេហទំព័រទិញឥវ៉ាន់អនឡាញ។
ស្គ្រីប JavaScript នៅក្នុងសំណួររួមមានកូដ skimming កាតឌីជីថលដែលនៅពេលអនុវត្តនៅលើគេហទំព័រមួយ វាលួចយកព័ត៌មានកាតទូទាត់ដោយស្វ័យប្រវត្តិ ដូចជាឈ្មោះម្ចាស់ប័ណ្ណឥណទាន លេខប័ណ្ណឥណទាន ពេលវេលាផុតកំណត់ ព័ត៌មាន CVV ដែលបញ្ចូលដោយអតិថិជនរបស់ខ្លួន។នៅក្នុងការសម្ភាសតាមសារអេឡិចត្រូនិចមួយ ក្រុមអ្នកស្រាវជ្រាវ NetLab ប្រាប់សារព័ត៌មាន The Hacker News ថា ពួកគេមិនមានទិន្នន័យគ្រប់គ្រាន់ដើម្បីកំណត់ពីវិធីដែលពួកអ្នកវាយប្រហារប៉ះពាល់លើគេហទំព័រដែលរងផលប៉ះពាល់ពីកន្លែងដំបូងឬភាពងាយរងគ្រោះដែលពួកគេទាញយកនោះទេ ប៉ុន្តែបញ្ជាក់ថាគេហទំព័រទិញឥវ៉ាន់ដែលរងផលប៉ះពាល់ទាំងអស់កំពុងដំណើរការលើកម្មវិធី Magento e- commerce CMS។
ការវិភាគបន្ថែមទៀតបង្ហាញថា ស្គ្រីបព្យាបាទបន្ទាប់មកផ្ញើទិន្នន័យកាតបង់ប្រាក់ដែលត្រូវលួចទៅឯកសារផ្សេងទៀតដែលត្រូវបង្ហោះនៅលើម៉ាស៊ីនមេ magento-analytics[.]com ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។អ្នកស្រាវជ្រាវពន្យល់លើប្លុកដែលផ្សាយក្នុងថ្ងៃនេះថា “យកជនរងគ្រោះម្នាក់ជាឧទាហរណ៍ www.kings2.com នៅពេលដែលអ្នកប្រើប្រាស់បង្ហោះគេហទំព័ររបស់ខ្លួនហើយ JS ដំណើរការដែរ។ ប្រសិនបើអ្នកប្រើជ្រើសរើសផលិតផលហើយចូលទៅ 'ព័ត៌មានអំពីការបង់ប្រាក់' ដើម្បីដាក់ស្នើព័ត៌មានកាតឥណទាន បន្ទាប់ពីទិន្នន័យ CVV ត្រូវបញ្ចូល ទិន្នន័យព័ត៌មានកាតឥណទាននឹងត្រូវផ្ទុកឡើង។”
បច្ចេកទេសដែលត្រូវប្រើដោយក្រុមនៅពីក្រោយយុទ្ធនាការនេះគឺមិនមែនវិធីថ្មីនិងច្បាស់លាស់ដូចអ្វីដែលក្រុមអ្នកវាយប្រហារកាតឥណទាន MageCart ដ៏ល្បីល្បាញប្រើនៅក្នុងការវាយប្រហារថ្មីៗរាប់រយរបស់ពួកគេរួមមាន Ticketmaster, British Airways និង Newegg ។ទោះជាយ៉ាងណាក៏ដោយ ពួកអ្នកស្រាវជ្រាវ NetLab មិនភ្ជាប់ការវាយប្រហារនេះទៅក្រុម MageCart ណាមួយឡើយ។
ដូចគ្នានេះផងដែរ សូមកុំយល់ច្រឡំជាមួយនឹងឈ្មោះដែន www.magento-analytics[.]com។មាន Magento នៅក្នុងឈ្មោះដែនមិនមានន័យថាដែនដែលមានគំនិតអាក្រក់នេះត្រូវផ្សារភ្ជាប់ទៅនឹងវេទិកាដ៏ល្បីល្បាញផ្នែកអេឡិចត្រូនិក Magentoទេ; ជំនួសឱ្យអ្នកវាយប្រហារដែលប្រើពាក្យគន្លឹះនេះដើម្បីក្លែងបន្លំសកម្មភាពរបស់ពួកគេនិងធ្វើឱ្យអ្នកប្រើធម្មតាច្រឡំ។
យោងទៅតាមក្រុមអ្នកស្រាវជ្រាវឱ្យដឹងថា Domain ដែលមានគ្រោះថ្នាក់នៅក្នុងយុទ្ធនាការនេះត្រូវចុះបញ្ជីនៅប៉ាណាម៉ាក្នុងប៉ុន្មានខែថ្មីៗនេះ អាសយដ្ឋាន IP ផ្លាស់ប្តូរពី “សហរដ្ឋអាមេរិក អារីហ្សូណា” ទៅ “រុស្សី មូស្គូ” បន្ទាប់មកទៅ”ចិន ហុងកុង”។ខណៈពេលដែលក្រុមអ្នកស្រាវជ្រាវរកឃើញថា ដែនដែលមានគ្រោះថ្នាក់លួចព័ត៌មានកាតឥណទានយ៉ាងហោចណាស់ប្រាំខែជាមួយនឹងគេហទំព័រចំនួន១០៥ ដែលឆ្លងមេរោគ JS រួចហើយនោះពួកគេជឿថាចំនួននេះអាចខ្ពស់ជាងអ្វីដែលបង្ហាញនៅលើរ៉ាដារបស់ពួកគេ។
កាលពីម្សិលមិញ អ្នកប្រើម្នាក់បង្ហោះនៅលើវេទិកាមួយដែលគេហទំព័រ Magento របស់គាត់ក៏ត្រូវគេវាយប្រហារនៅពេលថ្មីៗនេះផងដែរ ហើយអ្នកវាយប្រហារលួចស្រ្គីបកាតឥណទានដោយលួចចម្លងពីដែនដូចគ្នានេះដែលមើលទៅហាក់បីដូចជាមិនមាននៅលើគេហទំព័រ ៣៦០ NetLab ។ដោយសារតែអ្នកវាយប្រហារតែងតែទាញយកភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីពាណិជ្ជកម្មអេឡិចត្រូនិចដើម្បីចាក់ស្គ្រីបដែលមានគ្រោះថ្នាក់របស់ខ្លួនចូល អ្នកគ្រប់គ្រងគេហទំព័រត្រូវគេណែនាំយ៉ាងខ្លាំងឱ្យធ្វើតាមការអនុវត្តសុវត្ថិភាពល្អបំផុតដូចជាការធ្វើបច្ចុប្បន្នភាពនិងជួសជុល ការកំណត់សិទ្ធិសម្រាប់ប្រព័ន្ធសំខាន់ៗនិងម៉ាស៊ីនបម្រើគេហទំព័ររឹង។
អ្នកគ្រប់គ្រងគេហទំព័រត្រូវគេណែនាំឱ្យប្រើគោលនយោបាយសុវត្ថិភាពមាតិកា (CSP) ដែលអនុញ្ញាតឱ្យមានការគ្រប់គ្រងយ៉ាងតឹងរឹងលើអ្វីដែលធនធានត្រូវអនុញ្ញាតឱ្យផ្ទុកនៅលើគេហទំព័ររបស់អ្នក។ទន្ទឹមនឹងនេះដែរ អ្នកទិញឥវ៉ាន់អនឡាញក៏ត្រូវណែនាំឱ្យពិនិត្យឡើងវិញនូវកាតឥណទាននិងរបាយការណ៍ធនាគាររបស់ពួកគេសម្រាប់សកម្មភាពដែលអ្នកមិនធ្លាប់ស្គាល់។ ទោះបីជាប្រតិបត្តិការដែលគ្មានការអនុញ្ញាតតូចតាចដែលអ្នកកត់សំគាល់ អ្នកគួរតែរាយការណ៍ទៅកាន់ធនាគាររបស់អ្នកភ្លាមៗ។
