Thông thường, các Banking Trojans có mục tiêu nhắm tới người dùng các dịch vụ tài chính trực tuyến; nhằm đánh cắp dữ liệu tài chính hoặc xây dựng mạng botnet để phục vụ cho các cuộc tấn công khác. Theo thời gian, các biến thể của Banking Trojans được phát triển tính năng mới và mở rộng phạm vi ảnh hưởng. Các tính năng nguy hiểm như: chiếm quyền quản trị trên thiết bị lây nhiễm; chèn (inject) các mã độc hại; chiếm quyền sử dụng camera.... Đặc biệt, mở rộng phạm vi tấn công lên các trang mua sắm trực tuyến.
Theo thống kê của Kaspersky Lab, có 14 họ mã độc đang nhắm tới mục tiêu là các trang thương mại điện tử để đánh cắp thông tin. Các Banking Trojan phổ biến như: Betabot, Panda, Gozi, Zeus, Chthonic, TinyNuke, Gootkit2, IcedID và SpyEye. Số lượng mã độc này ngày càng tăng trong vài năm trở lại đây, từ 6,6 triệu (năm 2015) lên khoảng 12,3 triệu (cuối năm 2018). Dự tính, có khoảng 9,2 triệu mã độc được phát hiện vào cuối Quý III/2018, với mức tăng 12% từ năm 2016 - 2017 và mức tăng dự kiến 10% trong năm 2017 - 2018.
Thống kê số lượng Banking Trojans giai đoạn 2015 - 2018
Phương thức tấn công của Banking Trojans
Bằng việc tấn công các trang thương mại điện tử có uy tín, Banking Trojans thu thập thông tin đăng nhập, mật khẩu, số thẻ, số điện thoại.... của người dùng. Để có được những thông tin này, Banking Trojans thực hiện chặn bắt các truy vấn vào trên các trang web mục tiêu, sau đó sửa đổi nội dung trang web hoặc chuyển hướng truy cập đến các trang lừa đảo do tin tặc dựng sẵn.
Ví dụ, Trojans cho phép các tin tặc theo dõi hoạt động truy cập website trên thiết bị lây nhiễm. Nếu phát hiện người dùng truy cập đến một trang web mục tiêu, Trojans sẽ kích hoạt chức năng lấy mẫu (Form grabbing). Form grabbing là một kỹ thuật được sử dụng để lưu tất cả thông tin mà người dùng nhập trên trang web. Các dữ liệu nhập vào có thể sẽ chứa thông tin đăng nhập, mật khẩu, dữ liệu thanh toán (như số thẻ tín dụng, ngày hết hạn và CVV).... Nếu không có biện pháp xác thực hai yếu tố, thì tin tặc có thể dễ dàng sử dụng thông tin thẻ tín dụng cho những mục đích trái phép.
14 dòng mã độc đã được tìm thấy nhắm vào người dùng của 67 trang web thương mại điện tử. Trong đó bao gồm 33 trang web bán hàng thời trang (quần áo, giày dép, quà tặng, đồ chơi, đồ trang sức và cửa hàng bách hóa), 8 trang web bán hàng điện tử, 8 trang web giải trí và trò chơi, 3 trang web viễn thông, 2 trang thanh toán trực tuyến, 3 nền tảng bán lẻ trực tuyến....
Betabot nhắm đến 46 thương hiệu khác nhau và là Trojan duy nhất nhắm mục tiêu đến các trang web giải trí và trò chơi điện tử. Trong khi đó, Gozi nhằm vào mục tiêu 36 thương hiệu và Panda là 35 thương hiệu.
Tỷ lệ các ngành thương mại điện tử là mục tiêu của phần mềm độc hại năm 2018
Tại sao Banking Trojans nhắm mục tiêu các trang web thương mại điện tử?
Nguyên nhân lớn nhất là do lợi nhuận tài chính đem lại qua việc bán thông tin đánh cắp được. Một nguyên nhân khác là tin tặc có thể sử dụng trái phép thông tin thu thập được, như rửa tiền: mua đồ từ website bằng tài khoản của nạn nhân rồi thực hiện đó bán lại số hàng đó để thu về tiền mặt.
Năm 2018, các cuộc tấn công bằng mã độc để ăn cắp dữ liệu thông qua các trang thương mại điện tử xuất hiện nhiều ở các nước châu Âu, Bắc Mỹ, Nga và một số thị trường mới nổi. Cụ thể, khu vực ảnh hưởng của mã độc Betabot là Ý (14,13% trong 8 tháng đầu năm 2018), Đức (6,04%), Nga (5,5%) và Ấn Độ (4,87%). Đối với mã độc Gozi cũng tương tự với 19,57% ở Ý, Nga (13,89%), tiếp theo là Brazil (11,96%) và Pháp (5,91%).
Khuyến nghị
Để tránh khỏi những rủi ro mất an toàn thông tin tronng mùa mua sắm, Kaspersky Lab khuyên người dùng cần thực hiện các biện pháp bảo mật sau đây:
Đối với người tiêu dùng:
Đối với nhà sản xuất hoặc người bán hàng trực tuyến:
Nguyễn Tuấn Anh
Theo Kaspersky
14:00 | 23/11/2017
14:00 | 10/10/2018
14:00 | 14/12/2023
15:00 | 23/10/2017
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024