British Airways ข้อมูลรั่วไหลจากการโจมตีด้วย Web Skimming

RiskIQ บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เผยถึงวิธีการที่ British Airways ถูกแฮ็กและกระทบกับข้อมูลบัตรธนาคารของลูกค้ากว่า 380,000 ราย(ข่าวเก่าจาก TechTalkThai) ว่าเกิดจากการโจมตีด้วย Web Skimming คือผู้ร้ายได้ทำการแก้ไขไลบรารี่ JavaScript ในหน้าเพจส่วนข้อมูล Baggage Claim ของสายการบิน โดยเชื่อว่ากลุ่มแฮ็กเกอร์เบื้องหลังคือกลุ่มเดียวกับที่ปฏิบัติการโจมตี Ticketmaster UK เมื่อไม่กี่เดือนก่อนที่ชื่อ ‘Magecart’

Credit: ShutterStock.com

หลักการคือกลุ่มคนร้ายได้ทำการแก้ไขไลบรารี่ Modernizr JavaScript ที่ถูกโหลดในเพจของการเรียกคืนกระเป๋าจำนวน 22 บรรทัดเพื่อใช้ปฏิบัติการขโมยข้อมูล โดย Script ของคนร้ายจะทำการแตกข้อมูลผู้ใช้งานจากฟอร์มการชำระเงินหลังจากที่ผู้ใช้งานกด Submit บนหน้าเพจที่ถูกแทรกซึมและส่งไปยังเซิร์ฟเวอร์หมายเลขไอพี 89.47.162.248 ซึ่งมาจาก VPS ในลิทัวเนียประเทศโรมาเนีย เช่นกันในส่วนการโจมตีผู้ใช้งานฝั่งมือถือก็เกิดจากความจริงที่ว่าซอฟต์แวร์ได้มีการเรียกทรัพยากรจากหน้าเว็บสายการบินที่ประกอบด้วย JavaScript ตัวเดียวกัน ดังนั้นแฮ็กเกอร์เพียงแค่ “วาง Touched Callback ไว้ในตัว Skimmer ให้ทำงานได้กับผู้ใช้งานมือถือ“–RiskIQ กล่าว

นอกจากนี้ Server ของคนร้ายยังได้ใช้ Certificate ที่ดูเหมือนเป็นเซิร์ฟเวอร์ใช้งานปกติเนื่องมีการจดทะเบียนกับ Comodo (เพราะเสียเงิน) เอาไว้ด้วยตั้งแต่วันที่ 15 สิงหาคม 2018 ซึ่งยังเป็นที่น่าสงสัยว่าคนร้ายอาจมีการเข้าถึงบริษัทก่อนวันเริ่มโจมตีที่สายการบินออกมาแถลงคือวันที่ 21 สิงหาคมแล้ว นอกจากนี้ RiskIQ ยังเสริมว่า “Magecart ได้ตั้งเป้าที่ British Airways และทำการอย่างระมัดระวังเพื่อเลี่ยงการตรวจจับให้นานที่สุด ดังนั้นเรายังไม่รู้เลยว่าแฮ็กเกอร์เข้าไปได้ถึงส่วนไหนบ้างแต่คงเยอะพอดูถ้าพิจารณาจากการที่สามารถแก้ไขทรัพยากรบนหน้าเว็บได้” สุดท้ายคือ Comodo ได้ทำการเรียกคืน Certificate baways.com (ชื่อเนียนมาก) ของคนร้ายเรียบร้อยแล้ว


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

Symantec ประกาศอัปเดตโซลูชันคลาวด์ใหม่เร่งตอบโจทย์ Zero Trust

Symantec ได้มีการอัปเดตโซลูชัน Cloud Access ใหม่เพื่อช่วยให้องค์กรสามารถตอบโจทย์ Zero Trust การใช้งานคลาวด์ อินเทอร์เน็ต และอีเมลได้อย่างมั่นใจ