FBI แจ้งเตือนหน่วยงานรัฐและ e-Commerce ระวังการโจมตี e-Skimming (Magecart)

FBI ออกประกาศเตือนหน่วยงานรัฐและเอกชน โดยเฉพาะอย่างยิ่งธุรกิจ e-Commerce ถึงการโจมตีแบบ e-Skimming หรือที่รู้จักกันในนาม Web Skimming/Magecart ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลส่วนบุคคลและบัตรเครดิตขณะทำการชำระเงินออนไลน์ได้ พร้อมให้คำแนะนำสำหรับการหลีกเลี่ยงการตกเป็นเหยื่อ

การโจมตีแบบ e-Skimming/Web Skimming/Magecart นี้เริ่มต้นโดยอาชญากรไซเบอร์จะทำการแฮ็กระบบออนไลน์ขององค์กรหรือบริษัท จากนั้นฝังสคริปต์สำหรับดักจับข้อมูลไว้ในเว็บไซต์ เมื่อลูกค้า (เหยื่อ) กรอกข้อมูลส่วนบุคคลหรือบัตรเครดิตเพื่อชำระเงินออนไลน์ สคริปต์ดังกล่าวจะทำการเก็บรวบรวมข้อมูลแล้วส่งไปให้อาชญากรไซเบอร์ การโจมตีรูปแบบนี้ปรากฎมาตั้งแต่ปี 2016 แต่เริ่มพบบ่อยขึ้นในช่วง 2 ปีที่ผ่านมานี้ ซึ่งส่งผลกระทบทั้งผู้บริโภค บริษัท และหน่วยงานต่างๆ ที่ให้บริการระบบออนไลน์ โดยเฉพาะอย่างยิ่ง e-Commerce

เริ่มแรกนั้น การโจมตีแบบ e-Skimming ใช้วิธีการเจาะช่องโหว่ของแพลตฟอร์ม e-Shopping แบบ Open Source โดยเฉพาะ Magento ที่มักจะตกเป็นเป้าหมายย อย่างไรก็ตาม ช่วงหลังมานี้แฮ็กเกอร์ได้เริ่มใช้หลากหลายการโจมตี และพุ่งเป้าไปยังเว็บ e-Commerce หลายประเภทมากยิ่งขึ้น โดยไม่สนว่าจะเป็น Magento หรือ Cloud-hosted Service โดยวิธีที่แฮ็กเกอร์ใช้ส่วนใหญ่มีดังนี้

• แฮ็กบริษัทภายนอกที่ให้บริการ Widget ที่ทำงานบนระบบช็อปปิ้งออนไลน์ เช่น Tech Support, EU Cookie Compliance และอื่นๆ วิธีการนี้ สคริป e-Skimming จะถูกโหลดผ่านทางบริการภายนอกที่ถูกแฮ็ก
• ฝังสคริปต์ e-Skimming ไว้ในบัญชีระบบ Cloud ของบริษัทที่เปิดให้บุคคลภายนอกเข้าถึงได้ด้วยสิทธิ์ในการ “Write” ข้อมูล วิธีนี้มักเกิดกับบริษัทที่ผิดพลาดในการาตั้งค่า AWS Bucket ให้มีความมั่นคงปลอดภัย
• แฮ็กแพลตฟอร์ม e-Commerce และฝังสคริปต์ e-Skimming กระจายไปยังร้านค้าออนไลน์ที่ใช้แพลตฟอร์มดังกล่าว
• แฮ็กหรือโจมตีแบบ Phishing เพื่อหลอกเรารหัสผ่าน Admin ที่ดูแลระบบ e-Commerce แล้วลอบฝังสคริปต์​ e-Skimming เข้าไป

รายงานล่าสุดที่เพิ่งออกเมื่อต้นเดือนของ RiskIQ ระบุว่า ค้นพบสคริปต์ e-Skimming บนเว็บไซต์มากกว่า 18,000 โดเมน ซึ่งส่วนหนึ่งของการโจมตีมาจากกลุ่มแฮ็กเกอร์ทั่วไปที่ใช้ e-Skimming Toolkits ที่ซื้อมาจากกลุ่มแฮ็กเกอร์ใใต้ดิน ในขณะที่อีกส่วนหนึ่งเป็นกลุ่มแฮ็กเกอร์ที่มีประสบการณ์ที่ดำเนินการโจมตีไซเบอร์มาแล้วหลายครั้ง

FBI ได้ออกคำแนะนำสำหรับหน่วยงานรัฐและเอกชน รวมไปถึงธุรกิจ e-Commerce สำหรับป้องกันการตกเป็นเหยื่อ ดังนี้

• หมั่นอัปเดตซอฟต์แวร์ให้ล่าสุดอยู่เสมอ
• อย่าใช้รหัสผ่านดั้งเดิมที่มาจากโรงงาน ใให้เปลี่ยนไปใช้รหัสผ่านที่มีความแข็งแกร่งและไม่ซ้ำกับระบบอื่นๆ
• ใช้การพิสูจน์ตัวตนแบบ Multi-factor Authentication
• ให้ความรู้ด้านไซเบอร์แก่พนักงาน โดยเฉพาะอย่างยิ่ง ไม่คลิกลิงค์หรือเปิดไฟล์แนบในอีเมลหรือข้อความที่ดูต้องสงสัย
• บ่งส่วน Networks และ Functions เพื่อขัดขวางการแทรกซึมของแฮ็กเกอร์ให้ยากยิ่งขึ้น

ที่มา: https://www.zdnet.com/article/fbi-issues-warning-about-e-skimming-magecart-attacks/