Formjacking, thường còn được gọi là e-skimming hoặc credit card skimming, là một chiến thuật được sử dụng bởi tin tặc và những kẻ lừa đảo để chiếm đoạt các hình thức mua sắm trực tuyến với mục đích đánh cắp thông tin cá nhân và tài chính của nạn nhân trong khi họ mua sắm trực tuyến hợp pháp trang web mua sắm.
Bottom Line
Formjacking là một trò lừa đảo trực tuyến tương đối mới, đã nhận được sự chú ý chính trong năm 2018 và 2019 sau khi một số nhà bán lẻ trực tuyến lớn, chẳng hạn như Target và British Airways, bị tấn công và thông tin thẻ tín dụng cá nhân của hàng trăm nghìn khách hàng đã bị bị đánh cắp.
Lừa đảo E-Skimming hoạt động như thế nào?
Không giống như hack hệ thống hoặc vi phạm dữ liệu để lấy cắp thông tin đã lưu, formjacking liên quan đến việc hack mặt tiền cửa hàng trực tuyến và đặt mã JavaScript vào các biểu mẫu liên quan đến thanh toán. JavaScript này cho phép đặt hàng trực tuyến như bình thường trên trang web bị tấn công nhưng nó cũng gửi một bản sao của tất cả thông tin đã nhập của khách hàng, chẳng hạn như tên, địa chỉ và thông tin thẻ tín dụng, cho tin tặc.
Những kẻ lừa đảo Formjacking cũng được biết là đã hack các nhà cung cấp giỏ hàng bên thứ ba, cho phép chúng đồng thời đọc lướt thẻ tín dụng và thông tin ngân hàng từ các cửa hàng trực tuyến khác nhau cùng một lúc.
Sau đó, hacker có thể sử dụng thông tin thu thập được để thực hiện các đơn đặt hàng trực tuyến. Thông thường, dữ liệu sẽ được bán trực tuyến cho các bên khác và có thể khiến nạn nhân trở thành mục tiêu của các trò lừa đảo trực tuyến bổ sung trong tương lai.
Làm thế nào để những kẻ lừa đảo lướt qua thẻ tín dụng tìm được nạn nhân?
Cả các doanh nghiệp trực tuyến lớn và nhỏ đều trở thành nạn nhân của các vụ hack tài khoản e-skimming và dường như không có một kiểu người mua sắm cụ thể nào được nhắm mục tiêu nhiều hơn những người khác.
Những tin tặc đứng sau việc hack formjacking thường được gọi là tin tặc Magecart, theo tên phần mềm được sử dụng để thực hiện các vụ hack e-skimming. Không có một tổ chức Magecart nào. Nhiều cá nhân và nhóm không liên quan thực hiện hành vi tấn công này.
Các doanh nghiệp trực tuyến lớn có tiềm năng cho một số lượng lớn hơn nạn nhân của hack form, mặc dù trang web của họ có thể khó bị hack hơn do tăng cường bảo mật.
Các cửa hàng trực tuyến nhỏ hơn, chẳng hạn như cửa hàng thủ công mỹ nghệ, có thể có ít khách hàng hơn nhưng chúng cũng thường có tính bảo mật kém hơn so với các tổ chức lớn hơn nên dễ bị hack hơn nhiều. Trên các trang web nhỏ hơn, những vụ tấn công này có thể vẫn không bị phát hiện trong một khoảng thời gian dài hơn.
Làm cách nào để tránh dính líu đến trò lừa đảo này?
Có một số cách để ngăn bản thân trở thành nạn nhân của trò lừa đảo khi mua sắm trực tuyến.
- Sử dụng Apple Pay hoặc Google Pay. Cả hai dịch vụ đều ẩn hoàn toàn thông tin thẻ tín dụng của bạn khi mua hàng trực tuyến.
- Sử dụng PayPal. PayPal và các dịch vụ tài chính trực tuyến tương tự khác hầu hết được bảo vệ chống lại việc hack form vì chúng không yêu cầu bạn nhập bất kỳ thông tin ngân hàng nào.
- Lưu thông tin thanh toán của bạn trên trang web. Nếu thông tin thẻ tín dụng đã được kết nối với tài khoản của bạn, bạn sẽ không cần nhập thông tin đó vào biểu mẫu. Tuy nhiên, thông tin tài chính của bạn có thể bị lộ nếu trang web hoặc cơ sở dữ liệu bị tấn công.
- Kiểm tra trạng thái bảo mật của trang web. Mặc dù không phải là đảm bảo hoàn toàn, nhưng nếu địa chỉ trang web của cửa hàng trực tuyến bắt đầu bằng https, không phải http, thì điều đó có thể cho thấy mức độ bảo mật được tăng cường. Biểu tượng ổ khóa bên cạnh thanh địa chỉ cũng cho biết một trang web đang sử dụng các biện pháp phòng ngừa bảo mật.
- Tắt các tập lệnh trong trình duyệt web của bạn. Hầu hết các trình duyệt internet sẽ có một tùy chọn để tắt JavaScripts trong cài đặt của chúng. Các plugin trình duyệt cũng có thể được sử dụng.
- Sử dụng trình duyệt web tập trung vào quyền riêng tư. Một số trình duyệt, chẳng hạn như Brave, tập trung mạnh vào quyền riêng tư và bảo mật và tắt nhiều tập lệnh theo mặc định.
- Kiểm tra bảng sao kê ngân hàng của bạn. Cách dễ nhất để đảm bảo thông tin của bạn không bị đánh cắp hoặc bị bán trực tuyến là kiểm tra báo cáo tài chính của bạn hàng tháng để tìm bất kỳ giao dịch đáng ngờ hoặc bất thường nào. Bạn cũng có thể muốn theo dõi điểm tín dụng của mình.
Tôi Đã Là Nạn Nhân. Tôi Nên Làm gì?
Nếu bạn nghi ngờ rằng bạn đã trở thành nạn nhân của việc đọc lướt thẻ tín dụng hoặc đọc lướt điện tử, điều đầu tiên bạn nên làm là liên hệ với ngân hàng hoặc nhà cung cấp thẻ tín dụng của bạn và đóng băng bất kỳ giao dịch nào trong tương lai.
Nhà cung cấp thẻ tín dụng của bạn, tùy thuộc vào loại thẻ bạn sử dụng, cũng có thể hoàn lại bất kỳ khoản phí đáng ngờ nào đã được thực hiện. Bạn có thể sẽ được khuyến khích lấy thẻ tín dụng mới vì sau khi thông tin thẻ tín dụng của bạn bị lộ, bạn sẽ không thể bảo mật lại được nữa.
Nếu bạn cũng tình cờ nhập số điện thoại của mình vào biểu mẫu bị tấn công, bạn có thể trở thành mục tiêu của rất nhiều trò lừa đảo qua điện thoại như lừa đảo mã Google Voice, lừa đảo các cuộc gọi đến An sinh xã hội và lừa đảo mã vùng 833. Hãy hết sức cẩn thận với những cuộc điện thoại đáng ngờ.
Bạn cũng có thể muốn thông báo cho chủ sở hữu của trang web nơi bạn nghi ngờ thông tin của mình đã bị đọc lướt vì họ có thể không biết về một vụ hack như vậy.
Làm cách nào để tôi tránh bị nhắm mục tiêu cho trò lừa đảo Formjacking?
May mắn thay, những kẻ lừa đảo và tin tặc tấn công formjacking không nhắm mục tiêu vào các cá nhân vì toàn bộ trò lừa đảo tập trung vào việc tấn công các trang web dễ bị tấn công. Mặc dù vậy, bạn có thể giảm nguy cơ trở thành nạn nhân của một trang web bị tấn công bằng cách không nhập thông tin cá nhân và chi tiết thẻ tín dụng của mình nếu có thể và làm theo các mẹo được đề cập ở trên.
Mặc dù là một kiểu lừa đảo trực tuyến khác, nhưng bạn cũng nên cẩn thận để không bị lừa bởi các trang web giả mạo được thiết kế giống hệt những trang web chính thức và được thiết kế để lấy cắp thông tin tài chính của bạn theo cách tương tự như cách e- skimming hoặc formjacking hoạt động.
