Bạn có nghĩ rằng việc nhập thông tin thẻ tín dụng trên một website WordPress uy tín là an toàn không? Câu trả lời có thể khiến bạn phải suy nghĩ lại. Một lỗ hổng bảo mật nghiêm trọng trong plugin Funnel Builder - công cụ xây dựng phễu bán hàng phổ biến cho WordPress - đang bị tin tặc khai thác để tiêm mã độc JavaScript vào các trang thanh toán WooCommerce. Mục tiêu cuối cùng của chúng chẳng gì khác ngoài việc đánh cắp toàn bộ thông tin thanh toán của khách hàng, từ số thẻ tín dụng đến mã CVV.

Cuộc tấn công bí mật giữa ban ngày

Theo báo cáo từ Sansec - công ty chuyên về bảo mật thương mại điện tử - vừa công bố trong tuần này, các cuộc tấn công đang diễn ra một cách có hệ thống và tinh vi. Điều đáng lo ngại nhất là lỗ hổng này hiện chưa có mã định danh CVE (Common Vulnerabilities and Exposures - hệ thống mã hóa lỗ hổng bảo mật quốc tế) chính thức. Điều này có nghĩa là nhiều hệ thống quét bảo mật tự động có thể chưa phát hiện ra mối đe dọa này.

Chúng tôi cho rằng đây là một tín hiệu báo động đỏ cho cộng đồng WordPress Việt Nam. Plugin Funnel Builder được sử dụng rộng rãi bởi các doanh nghiệp muốn tối ưu hóa quy trình bán hàng trực tuyến. Khi kết hợp với WooCommerce - nền tảng thương mại điện tử phổ biến nhất cho WordPress, nó tạo thành một mục tiêu béo bở cho tin tặc.

Khi mã độc trà trộn vào quy trình thanh toán

Cơ chế tấn công được thực hiện thông qua kỹ thuật tiêm mã độc JavaScript - một phương pháp mà trong giới bảo mật gọi là skimming attack (tấn công đánh cắp dữ liệu thẻ). Tin tặc khai thác lỗ hổng để chèn đoạn mã độc hại vào trang checkout của WooCommerce. Khi khách hàng nhập thông tin thanh toán, mã độc này sẽ âm thầm sao chép toàn bộ dữ liệu và gửi về server do tin tặc kiểm soát.

Điều tinh vi ở đây là quá trình thanh toán vẫn diễn ra bình thường. Khách hàng vẫn nhận được xác nhận đơn hàng, vẫn được giao hàng như thường lệ. Họ không hề biết rằng thông tin thẻ tín dụng của mình đã rơi vào tay bọn tội phạm mạng. Chỉ khi phát hiện các giao dịch bất thường trên tài khoản ngân hàng, nạn nhân mới nhận ra mình đã trở thành mục tiêu.

Quy mô thiệt hại có thể lên đến hàng triệu USD

Theo thống kê từ WordPress.org, plugin Funnel Builder có hơn 100.000 lượt cài đặt hoạt động. Nếu chỉ 10% trong số này sử dụng WooCommerce cho thanh toán, chúng ta đang nói đến khoảng 10.000 website có nguy cơ bị tấn công. Với mỗi website xử lý trung bình 100 giao dịch mỗi ngày, con số nạn nhân tiềm năng có thể lên đến hàng triệu người trên toàn cầu.

Tại Việt Nam, theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), năm 2023 đã ghi nhận hơn 15.000 vụ tấn công mạng nhắm vào các website thương mại điện tử. Chúng tôi lo ngại rằng lỗ hổng Funnel Builder có thể trở thành một trong những công cụ chính để tin tặc thực hiện các cuộc tấn công quy mô lớn trong thời gian tới.

Bảo vệ ngay trước khi quá muộn

Nếu bạn đang sử dụng plugin Funnel Builder kết hợp với WooCommerce, hãy thực hiện ngay các bước sau. Đầu tiên, kiểm tra phiên bản plugin hiện tại và cập nhật lên phiên bản mới nhất nếu có. Thứ hai, tạm thời vô hiệu hóa plugin cho đến khi có bản vá chính thức từ nhà phát triển. Thứ ba, sử dụng Web Application Firewall (WAF - tường lửa ứng dụng web) để chặn các đoạn mã JavaScript bất thường.

Đối với các doanh nghiệp, chúng tôi khuyến nghị thực hiện kiểm tra bảo mật toàn diện cho toàn bộ hệ thống website. Hãy liên hệ với các chuyên gia bảo mật trong nước để được tư vấn cụ thể. Đồng thời, thông báo cho khách hàng về nguy cơ này và khuyến khích họ theo dõi chặt chẽ các giao dịch thẻ tín dụng trong thời gian gần đây. Trong thế giới số hóa hiện nay, việc phòng ngừa luôn tốt hơn việc khắc phục hậu quả.