Hàng nghìn cửa hàng trực tuyến bị hack để rao bán sản phẩm giả mạo nhằm chiếm đoạt tiền và dữ liệu người dùng

Một chiến dịch lừa đảo mang tên “Phish n’ Ships” hoạt động từ năm 2019, tấn công hơn 1.000 cửa hàng trực tuyến hợp pháp để quảng cáo các sản phẩm giả mạo, đặc biệt là những mặt hàng khó tìm.

Người dùng thường không mảy may nghi ngờ gì khi nhấp vào những sản phẩm này, nhưng thực tế họ sẽ bị chuyển hướng đến hàng trăm cửa hàng trực tuyến giả mạo. Mục tiêu của những cửa hàng này là đánh cắp thông tin cá nhân và tiền của họ mà không gửi đi bất cứ hàng hóa nào cả.

Theo nhóm Satori Threat Intelligence thuộc HUMAN, chiến dịch này đã ảnh hưởng đến hàng trăm nghìn người tiêu dùng, gây thiệt hại ước tính lên đến hàng chục triệu đô la. Cuộc tấn công bắt đầu khi kẻ xấu xâm nhập vào các trang web hợp pháp bằng cách khai thác những lỗ hổng bảo mật n-day, sau đó tải lên các tập lệnh với tên khó nhận diện như “zenb.php” và “khyo.php” để tạo ra danh sách sản phẩm giả.

Những sản phẩm này được tối ưu hóa SEO cho tìm kiếm, giúp chúng dễ dàng xuất hiện trên kết quả tìm kiếm của Google và thu hút các nạn nhân. Khi nạn nhân nhấp vào liên kết, họ sẽ được chuyển hướng đến một loạt các bước dẫn đến các trang giả mạo, thường nhái lại giao diện của các cửa hàng thực sự. Tất cả các cửa hàng giả mạo này đều liên kết với một mạng lưới gồm 14 địa chỉ IP, với các URL có chuỗi ký tự đặc trưng giúp nhận diện. Khi thanh toán một sản phẩm trên một cửa hàng giả mạo, nạn nhân sẽ gặp một quy trình thanh toán giả mạo.

Các trang web độc hại sẽ đánh cắp thông tin mà nạn nhân nhập vào, bao gồm thông tin thẻ tín dụng, và hoàn tất giao dịch thông qua các tài khoản thanh toán mà kẻ tấn công kiểm soát. Hậu quả là, sản phẩm không bao giờ đến tay người mua, khiến họ mất cả tiền và thông tin cá nhân.

Trong năm năm hoạt động, những kẻ tấn công đã lợi dụng nhiều nhà cung cấp dịch vụ thanh toán để rút tiền từ vụ lừa đảo này. Gần đây, họ đã áp dụng các phương thức thanh toán trên một số trang giả mạo để đánh cắp thẻ tín dụng trực tiếp từ nạn nhân.

HUMAN và các đối tác đã phối hợp để xử lý chiến dịch Phish n’ Ships, thông báo cho các tổ chức bị ảnh hưởng và báo cáo các trang giả mạo cho Google để chúng bị xóa. Đến nay, hầu hết các kết quả tìm kiếm độc hại đã được gỡ bỏ và gần như tất cả các cửa hàng giả mạo đã ngừng hoạt động.

Các bộ xử lý thanh toán đã được thông báo và đã xóa các tài khoản vi phạm, làm gián đoạn chiến dịch của những kẻ tấn công. Tuy nhiên, những kẻ lừa đảo này có thể sẽ tìm cách vượt qua các hành động ngăn chặn và tiếp tục hoạt động trở lại, thiết lập một mạng lưới lừa đảo người mua sắm mới.

Người tiêu dùng được khuyến cáo chú ý đến các chuyển hướng bất thường khi mua sắm trực tuyến, đảm bảo rằng họ đang ở đúng trang web của cửa hàng và báo cáo bất kỳ dấu hiệu lừa đảo nào cho ngân hàng và cơ quan chức năng càng sớm càng tốt.

Nguồn: bleeping computer