Breaking News

British Airways ข้อมูลรั่วไหลจากการโจมตีด้วย Web Skimming

RiskIQ บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เผยถึงวิธีการที่ British Airways ถูกแฮ็กและกระทบกับข้อมูลบัตรธนาคารของลูกค้ากว่า 380,000 ราย(ข่าวเก่าจาก TechTalkThai) ว่าเกิดจากการโจมตีด้วย Web Skimming คือผู้ร้ายได้ทำการแก้ไขไลบรารี่ JavaScript ในหน้าเพจส่วนข้อมูล Baggage Claim ของสายการบิน โดยเชื่อว่ากลุ่มแฮ็กเกอร์เบื้องหลังคือกลุ่มเดียวกับที่ปฏิบัติการโจมตี Ticketmaster UK เมื่อไม่กี่เดือนก่อนที่ชื่อ ‘Magecart’

Credit: ShutterStock.com

หลักการคือกลุ่มคนร้ายได้ทำการแก้ไขไลบรารี่ Modernizr JavaScript ที่ถูกโหลดในเพจของการเรียกคืนกระเป๋าจำนวน 22 บรรทัดเพื่อใช้ปฏิบัติการขโมยข้อมูล โดย Script ของคนร้ายจะทำการแตกข้อมูลผู้ใช้งานจากฟอร์มการชำระเงินหลังจากที่ผู้ใช้งานกด Submit บนหน้าเพจที่ถูกแทรกซึมและส่งไปยังเซิร์ฟเวอร์หมายเลขไอพี 89.47.162.248 ซึ่งมาจาก VPS ในลิทัวเนียประเทศโรมาเนีย เช่นกันในส่วนการโจมตีผู้ใช้งานฝั่งมือถือก็เกิดจากความจริงที่ว่าซอฟต์แวร์ได้มีการเรียกทรัพยากรจากหน้าเว็บสายการบินที่ประกอบด้วย JavaScript ตัวเดียวกัน ดังนั้นแฮ็กเกอร์เพียงแค่ “วาง Touched Callback ไว้ในตัว Skimmer ให้ทำงานได้กับผู้ใช้งานมือถือ“–RiskIQ กล่าว

นอกจากนี้ Server ของคนร้ายยังได้ใช้ Certificate ที่ดูเหมือนเป็นเซิร์ฟเวอร์ใช้งานปกติเนื่องมีการจดทะเบียนกับ Comodo (เพราะเสียเงิน) เอาไว้ด้วยตั้งแต่วันที่ 15 สิงหาคม 2018 ซึ่งยังเป็นที่น่าสงสัยว่าคนร้ายอาจมีการเข้าถึงบริษัทก่อนวันเริ่มโจมตีที่สายการบินออกมาแถลงคือวันที่ 21 สิงหาคมแล้ว นอกจากนี้ RiskIQ ยังเสริมว่า “Magecart ได้ตั้งเป้าที่ British Airways และทำการอย่างระมัดระวังเพื่อเลี่ยงการตรวจจับให้นานที่สุด ดังนั้นเรายังไม่รู้เลยว่าแฮ็กเกอร์เข้าไปได้ถึงส่วนไหนบ้างแต่คงเยอะพอดูถ้าพิจารณาจากการที่สามารถแก้ไขทรัพยากรบนหน้าเว็บได้” สุดท้ายคือ Comodo ได้ทำการเรียกคืน Certificate baways.com (ชื่อเนียนมาก) ของคนร้ายเรียบร้อยแล้ว


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก

รหัสผ่านความยาว 8 ตัวอักษรไม่ปลอดภัยอีกต่อไป อาจถูกถอดได้ในเวลาเพียง 2.5 ชั่วโมง

ทีมพัฒนา HashCat ได้ออกมาเล่าถึงประสิทธิภาพของ HashCat 6.0.0 Beta ที่ใช้การ์ดจอ Nvidia GTX 2080Ti จำนวน 8 ชุด ซึ่งสามารถถอดรหัสผ่านสำหรับ NTLM ได้ด้วยความเร็ว 100 Gigahashes per Second (GH/s) หรือเรียกง่ายๆ ว่ารหัสผ่านความยาว 8 ตัวอักษรนั้นสามารถถูกถอดได้ภายในเวลาประมาณ 2.5 ชั่วโมง