Google Analytics jako kanał eksfiltracji danych

Nasi eksperci odkryli schemat zdobywania danych posiadaczy kart za pomocą narzędzi Google.

Web skimming to dość powszechna metoda uzyskiwania danych z kart należących do klientów sklepów internetowych. To jedna z ulubionych praktyk cyberprzestępców, a ostatnio nasi eksperci odkryli dość niebezpieczną innowację polegającą na eksfiltracji skradzionych danych za pośrednictwem Google Analytics. Sprawdźmy, dlaczego jest to niebezpieczne i jak sobie z tym radzić.

Jak działa tzw. web skimming

W ataku tym złośliwy kod jest wstrzykiwany do stron należących do docelowej witryny. Sposoby realizacji tego zadania są różne: czasami odbywa się to poprzez zdobycie hasła do konta administratora w ramach kradzieży lub złamania go metodą siłową, czasami wykorzystywane są luki w systemie zarządzania treścią (CMS) lub w jednej z wtyczek innych firm, a czasami dochodzi do wstrzyknięcia kodu za pośrednictwem nieprawidłowości w kodzie formularza służącego do wprowadzania danych.

Wstrzyknięty kod rejestruje wszystkie działania użytkownika (w tym wprowadzone dane z karty bankowej) i przesyła je do właściciela. W zdecydowanej większości przypadków web skimming jest więc rodzajem ataku cross-site scripting.

Dlaczego Google Analytics

Zgromadzenie danych to tylko połowa sukcesu, ponieważ złośliwe oprogramowanie musi jeszcze je wysłać do atakującego. Jednak atak typu web skimming istnieje nie od dziś, a na drodze jego ewolucji opracowano już stosowne mechanizmy. Jedna z metod polega na użyciu standardu Content Security Policy (CSP), a dokładnie nagłówka technicznego, który wyświetla wszystkie usługi uprawnione do zbierania informacji w określonej witrynie lub stronie. Jeśli wykorzystywana przez cyberprzestępców usługa nie jest wymieniona w nagłówku, nie będą oni mogli zdobyć żadnych zebranych informacji. Wpadli oni na pomysł, aby obejść ten środek zabezpieczający poprzez wykorzystanie Google Analytics.

Obecnie prawie każda strona monitoruje statystyki odwiedzin; najbardziej popularne jest to oczywiście wśród sklepów internetowych. Najwygodniejszym narzędziem do tego celu jest usługa Google Analytics, która umożliwia zbieranie danych na podstawie wielu parametrów. Z uwagi na to, że obecnie korzysta z niej około 29 milionów witryn, prawdopodobieństwo, że przesłanie danych do Google Analytics jest dozwolone w nagłówku CSP sklepu internetowego, jest bardzo wysokie.

Aby zbierać statystyki z witryny, wystarczy skonfigurować parametry śledzenia i dodać do strony odpowiedni kod, a mogą to zrobić tylko właściciele witryny. Złośliwy skrypt gromadzi dane użytkowników, a następnie — za pomocą własnego kodu śledzenia — wysyła je poprzez protokół Google Analytics Measurement Protocol bezpośrednio na swoje konto. Więcej szczegółów na temat mechanizmu ataku i oznak włamania znajduje się w tym poście w serwisie Securelist.

Zalecenia

Opisany schemat działania jest wymierzony głównie w użytkowników, którzy wprowadzają dane karty bankowej w internecie. Firmy, które obsługują strony internetowe z formularzami płatności, mogą zapobiegać wyciekom danych z ich witryny poprzez podjęcie następujących działań:

  • Regularna aktualizacja całego oprogramowania, w tym aplikacji webowych (CMS i wszystkie jego wtyczki).
  • Instalacja komponentów CMS tylko z zaufanych źródeł.
  • Wdrożenie surowej polityki dostępu do CMS, która ogranicza prawa użytkowników do niezbędnego minimum i wymusza korzystanie z silnych i unikatowych haseł.
  • Okresowe przeprowadzanie audytów bezpieczeństwa witryny zawierającej formularz płatności.

Jeśli chodzi o użytkowników, czyli potencjalnych bezpośrednich ofiar tego systemu, muszą oni stosować niezawodne oprogramowanie zabezpieczające. Rozwiązania firmy Kaspersky są przeznaczone zarówno dla użytkowników domowych, jak i małych i średnich firm oraz wykrywają złośliwe skrypty na stronach płatności dzięki naszej technologii Bezpieczne pieniądze.

Porady