Cyberprzestępcy znaleźli nowy sposób kradzieży danych płatniczych wykorzystujący popularną usługę analizy stron internetowych

Badacze z firmy Kaspersky wykryli nową technikę kradzieży informacji płatniczych użytkowników sklepów internetowych. Poprzez zarejestrowanie się na kontach Google Analytics oraz wstrzyknięcie specjalnego modułu śledzącego do kodu źródłowego stron internetowych cyberprzestępcy mogą gromadzić dane kart płatniczych użytkowników. Dotychczas przy użyciu tej metody naruszono bezpieczeństwo ponad dwudziestu sklepów online na świecie. Nowa metoda jest odmianą techniki zwanej „web skimming”.

Web skimming jest powszechnie wykorzystywany przez cyberprzestępców w celu kradzieży danych kart płatniczych użytkowników ze sklepów internetowych i polega na wstrzyknięciu fragmentów kodu do kodu źródłowego strony internetowej. Szkodliwy kod gromadzi następnie dane podawane przez odwiedzających stronę (tj. loginy rachunku płatniczego lub numery kart) i wysyła je na adres określony przez atakujących. Aby ukryć fakt naruszenia bezpieczeństwa danej strony internetowej, przestępcy często rejestrują domeny o nazwach, które przypominają popularne usługi analizy witryn, takie jak Google Analytics. W ten sposób, gdy wstrzykną szkodliwy kod, administratorowi strony trudniej jest rozpoznać, że doszło do naruszenia bezpieczeństwa strony. Na przykład stronę „googlc-analytics[.]com” łatwo jest uznać za legalna domenę.

Niedawno badacze z firmy Kaspersky odkryli nieznaną wcześniej technikę przeprowadzania ataków typu web skimming. Zamiast przekierowywania danych do źródeł innych firm, cyberprzestępcy przekierowywali je do oficjalnych kont Google Analytics. Po zarejestrowaniu kont w Google Analytics atakującym pozostawało jedynie skonfigurowanie parametrów śledzenia kont, tak aby otrzymywali identyfikator śledzenia. Następnie wstrzykiwali szkodliwy kod wraz z identyfikatorem śledzenia do kodu źródłowego strony internetowej, co pozwalało gromadzić dane dotyczące odwiedzających oraz wysyłać je bezpośrednio do kont Google Analytics.

Ponieważ dane nie są przekierowywane do nieznanego zasobu innych firm, administratorom trudno jest zauważyć, że doszło do naruszenia bezpieczeństwa strony internetowej. Osobom sprawdzającym kod źródłowy wydaje się, że strona jest po prostu połączona z oficjalnym kontem Google Analytics – co często ma miejsce w przypadku sklepów internetowych.

Aby jeszcze bardziej utrudnić rozpoznanie szkodliwej aktywności, cyberprzestępcy stosowali również powszechną technikę ochrony przed wykrywaniem błędów: jeśli administrator strony przegląda kod źródłowy strony internetowej przy użyciu trybu dewelopera, szkodliwy moduł nie jest wykonywany.

W ten sposób naruszono bezpieczeństwo ponad dwudziestu stron internetowych, w tym sklepów w Europie oraz Ameryce Północnej i Południowej.

Jest to nieznana wcześniej, a zarazem niezwykle skuteczna technika. Google Analytics stanowi jedną z najpopularniejszych usług analizy stron internetowych. Ponieważ ogromna większość programistów i użytkowników ma zaufanie do tej usługi, administratorzy stron często udzielają jej zgody na gromadzenie danych użytkowników. Z tego powodu szkodliwe wstrzyknięcia zawierające konta Google Analytics nie rzucają się w oczy i łatwo je przeoczyć. Dlatego administratorzy nie powinni zakładać, że jeśli jakiś zasób firmy zewnętrznej jest legalny, jego obecność w kodzie nie stanowi zagrożenia – powiedziała Wiktoria Własowa, starsza analityczka szkodliwego oprogramowania w firmie Kaspersky.

Po otrzymaniu informacji o problemie od badaczy z firmy Kaspersky firma Google potwierdziła, że prowadzi obecnie poważne prace mające na celu zmniejszenie możliwości wykorzystania tego rodzaju szkodliwych technik.

Więcej informacji na temat nowej techniki web skimmingu znajduje się na stronie https://securelist.com/web-skimming-with-google-analytics/97414/.


opublikowano: 2020-06-24
Komentarze
Polityka Prywatności