eBay sửa một phần lỗ hổng có khả năng đã bị tội phạm mạng khai thác cho việc tấn công giả mạo và lừa đảo trực tuyến

HG| 23/02/2016 05:33
Theo dõi ICTVietnam trên

Theo hãng bảo mật Netcraft, đầu tháng 2/2016, eBay đã sửa một phần lỗ hổng có khả năng bị tội phạm mạng tận dụng để thực hiện các cuộc tấn công giả mạo và những gian lận trong việc bán xe ô tô.

Vàongày 02/02/2016, các nhà nghiên cứu tại Check Point đã phát hiện ra một lỗ hổngtrong eBay có thể đã được khai thác để tiến hành lừa đảo và những cuộctấn công bằng phần mềm độc hại.

eBay cho phép người dùng chèn nội dung hoạt động vào phần mô tả sản phẩm trong gian hàng của họ, nhưng sử dụng các bộ lọc lỗ hổng XSS (cross-site scripting filters) với nỗ lực nhằm ngăn chặn sự lạm dụng. Tuy nhiên, các chuyên gia đã phát hiện ra rằng, chỉ bằng việc sử dụng một kỹ thuật JSFuck mà nó cho phép chèn một tập tin JavaScript từ xa vào một trang web khi sử dụng một tổ hợp chỉ với 6 ký tự ([ ] ( ) ! ) là có thể đi qua các bộ lọc XSS của eBay.

CheckPoint đã chứng minh được rằng kẻ tấn công có thể dễ dàng lừa người dùng bàngiao toàn bộ hồ sơ (credentials) của họ trên một trang web lừa đảo chỉ đơn giảnbằng việc thiết lập một gian hàng có chứa mã độc trên eBay và khai thác các nạnnhân “viếng thăm”. Khi đó, các trang web lừa đảo và phần mềm độc hại hiện ra đểkết nối tới tên miền ebay.com chính thống khiến một số người dùng “mắc bẫy”.

eBaynói rằng họ đã thực hiện các tính năng lọc an toàn dựa trên những phát hiện củaCheck Point đồng thời lưu ý rằng nội dung độc hại là rất hiếm gặp trên gianhàng trực tuyến của họ. Hãng thương mại điện tử khổng lồ cũng nói rằng không thấybất kỳ hoạt động lừa đảo nào khai thác các lỗ hổng được báo cáo bởi các chuyêngia.

Tuynhiên, dường như việc sửa chữa một phần của eBay chưa đủ để ngăn chặn các mã độckhai thác lỗ hổng. Thứ 6 vừa qua, Netcraft báo cáo rằng đã thấy một vài danhsách trang eBay giả mạo nhắm mục tiêu khai thác lỗ hổng này.

Theo Netcraft, tội phạm mạng đã cài đặt mã độc trên các tài khoản eBay bị tổn hại,bao gồm cả những tài khoản được tạo từ vài năm trước và những tài khoảnnày có 100% ý kiến phản hồi xác thực.

Trongmột trường hợp tấn công, những kẻ lừa đảo đã chép nội dung một danh sách thật củaloại xe RV bán trên eBay 3 tháng trước đó và đăng tải trong một gian hàng màchúng đã chiếm hữu được tạo ra vào tháng 4/2010. Người dùng truy nhập vào đây sẽlập tức bị chuyển hướng tới một trang web đã thiết kế “nhái” eBay.

Trêntrang eBay giả mạo, RV, loại xe đã bán với giá 19.295 USD từ người bán hợp phápgiảm xuống còn 6.300 USD. Trong trường hợp này, thay vì chiếm hồ sơ của nạnnhân, kẻ tấn công sẽ cố gắng lừa họ “mua” xe.

Khingười dùng nhấn vào các nút “Buy it now” hoặc “Make offer” trên trang web giả mạo,họ chỉ đơn giản là được yêu cầu cấp địa chỉ email, rồi theo đó những kẻ lừa đảo sẽ kết nối với họ trongmột nỗ lực lừa họ gửi tiền mua xe bằng cách chuyển khoản qua ngân hàng. Với nỗ lực làm cho trang giả giống như trang chính thống và chiếm được sự tin tưởng của nạn nhân, kẻ lừa đảo còn sử dụng cả một dịch vụ bảo lãnh giả mạo.

Nhữngchiêu trò này là rất phổ biến trên eBay và cũng đã giúp cho tin tặc kiếm đượchàng triệu đô la.

Theochuyên gia Paul Mutton của Netcraft: "Kiểu tấn công lừa đảo cụ thể này chothấy sự phát triển đáng lưu ý trong các hình thức tấn công của tội phạm mạng. Sự khônngoan của nó là không chỉ bắt đầu từ trang web eBay chính thống và sử dụng nhưng tập tinmang tên ngẫu nhiên đã xóa đi để tránh sự phát hiện, mà chúng còn cố gắng loại bỏmột số chứng cứ trong Server Log của eBay: Khi tất cả các hình ảnh sử dụng trêntrang bán đấu giá giả mạo được lấy cắp từ trang đấu giá hợp pháp trước đó, tộiphạm mạng còn mã hóa hình ảnh sang định dạng ký tự 64 bít hoặc sử dụng mộtwebsite riêng của chúng để “phục vụ”. Điều này nghĩa là không một tiêu đề thamchiếu nào được truyền tới máy chủ trang web của eBay chính thống, nếu không thì nó đã có thể lật tẩy địa điểm của trang web lừa đảo”.

Netcraftcho biết, việc đưa ra mỗi trang eBay khác nhau có thể vẫn chỉ là của cùng một nhómlừa đảo thiết lập nên để dẫn dắt các nạn nhân tới một trang web eBay giả mạo,nơi mà người dùng được hỏi để chấp nhận tên và mật khẩu khi nhấn vào nút “Buy it now”. Những hồ sơ người dùng màbọn chúng chiếm được có thể bị sử dụng để tạo ra những chiêu trò gian lận kháctrên tài khoản eBay hợp pháp của nạn nhân.

Theo securityweek.com

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • Hai nền tảng số MISA được công nhận là sản phẩm Thương hiệu quốc gia Việt Nam 2024
    Vượt qua hơn 1.000 hồ sơ và nhiều vòng thẩm định khắt khe, MISA có hai nền tảng số đạt danh hiệu Thương hiệu quốc gia Việt Nam 2024.
  • Sản phẩm, dịch vụ của VinaPhone được công nhận là Thương hiệu Quốc gia
    Tại lễ công bố sản phẩm đạt Thương hiệu Quốc gia Việt Nam năm 2024 do Bộ Công Thương tổ chức, sản phẩm, dịch vụ VinaPhone 5G, Truyền hình MyTV, chứng thực ký số công cộng (VNPT CA)... của VNPT VinaPhone đã được công nhận là Thương hiệu Quốc gia 2024.
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
eBay sửa một phần lỗ hổng có khả năng đã bị tội phạm mạng khai thác cho việc tấn công giả mạo và lừa đảo trực tuyến
POWERED BY ONECMS - A PRODUCT OF NEKO