British Airways ข้อมูลรั่วไหลจากการโจมตีด้วย Web Skimming

RiskIQ บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เผยถึงวิธีการที่ British Airways ถูกแฮ็กและกระทบกับข้อมูลบัตรธนาคารของลูกค้ากว่า 380,000 ราย(ข่าวเก่าจาก TechTalkThai) ว่าเกิดจากการโจมตีด้วย Web Skimming คือผู้ร้ายได้ทำการแก้ไขไลบรารี่ JavaScript ในหน้าเพจส่วนข้อมูล Baggage Claim ของสายการบิน โดยเชื่อว่ากลุ่มแฮ็กเกอร์เบื้องหลังคือกลุ่มเดียวกับที่ปฏิบัติการโจมตี Ticketmaster UK เมื่อไม่กี่เดือนก่อนที่ชื่อ ‘Magecart’

หลักการคือกลุ่มคนร้ายได้ทำการแก้ไขไลบรารี่ Modernizr JavaScript ที่ถูกโหลดในเพจของการเรียกคืนกระเป๋าจำนวน 22 บรรทัดเพื่อใช้ปฏิบัติการขโมยข้อมูล โดย Script ของคนร้ายจะทำการแตกข้อมูลผู้ใช้งานจากฟอร์มการชำระเงินหลังจากที่ผู้ใช้งานกด Submit บนหน้าเพจที่ถูกแทรกซึมและส่งไปยังเซิร์ฟเวอร์หมายเลขไอพี 89.47.162.248 ซึ่งมาจาก VPS ในลิทัวเนียประเทศโรมาเนีย เช่นกันในส่วนการโจมตีผู้ใช้งานฝั่งมือถือก็เกิดจากความจริงที่ว่าซอฟต์แวร์ได้มีการเรียกทรัพยากรจากหน้าเว็บสายการบินที่ประกอบด้วย JavaScript ตัวเดียวกัน ดังนั้นแฮ็กเกอร์เพียงแค่ “วาง Touched Callback ไว้ในตัว Skimmer ให้ทำงานได้กับผู้ใช้งานมือถือ“–RiskIQ กล่าว

นอกจากนี้ Server ของคนร้ายยังได้ใช้ Certificate ที่ดูเหมือนเป็นเซิร์ฟเวอร์ใช้งานปกติเนื่องมีการจดทะเบียนกับ Comodo (เพราะเสียเงิน) เอาไว้ด้วยตั้งแต่วันที่ 15 สิงหาคม 2018 ซึ่งยังเป็นที่น่าสงสัยว่าคนร้ายอาจมีการเข้าถึงบริษัทก่อนวันเริ่มโจมตีที่สายการบินออกมาแถลงคือวันที่ 21 สิงหาคมแล้ว นอกจากนี้ RiskIQ ยังเสริมว่า “Magecart ได้ตั้งเป้าที่ British Airways และทำการอย่างระมัดระวังเพื่อเลี่ยงการตรวจจับให้นานที่สุด ดังนั้นเรายังไม่รู้เลยว่าแฮ็กเกอร์เข้าไปได้ถึงส่วนไหนบ้างแต่คงเยอะพอดูถ้าพิจารณาจากการที่สามารถแก้ไขทรัพยากรบนหน้าเว็บได้” สุดท้ายคือ Comodo ได้ทำการเรียกคืน Certificate baways.com (ชื่อเนียนมาก) ของคนร้ายเรียบร้อยแล้ว