Hackerii folosesc Google Analytics pentru a depăși măsurile de securitate web

Skimmingul web este o categorie comună de atacuri destinate în general cumpărătorilor online. Principiul este destul de simplu: codul dăunător este injectat în site-ul compromis, apoi colectează și trimite datele introduse de utilizatori către o resursă a infractorilor cibernetici. Dacă atacul are succes, infractorii cibernetici au acces la informațiile de plată ale cumpărătorilor.

Pentru a face mai puțin vizibil fluxul de date către o terță resursă, fraudatorii înregistrează deseori domenii asemănătoare cu numele serviciilor web populare și, în special, Google Analytics (google-anatytics [.] Com, google-analytcsapi [.] Com, google-analytc [.] com, google-anaiytlcs [.] com, google-analytics [.] top, google-analytics [.] cm, google-analytics [.] to, google-analytics-js [.] com, googlc -analitice [.] com etc.). Dar s-a constatat că uneori atacurile de acest fel folosesc chiar serviciul autentic.

Pentru a colecta date despre vizitatori care folosesc Google Analytics, proprietarul site-ului trebuie să configureze parametrii de urmărire în contul lor pe analytics.google.com, să obțină ID-ul de urmărire (trackingId, un șir de tipul UA-XXXX-Y) și să îl insereze în paginile web împreună cu codul de urmărire (un fragment special de cod). Mai multe coduri de urmărire pot da impresia că accesează un singur site, trimițând date despre vizitatori în diferite conturi Analytics.

Recent, specialiștii Kaspersky au identificat mai multe cazuri în care acest serviciu a fost folosit în mod necorespunzător: atacatorii au injectat coduri dăunătoare pe site-uri, acestea au colectat toate datele introduse de utilizatori, apoi le-au trimis prin intermediul Analytics. Drept urmare, atacatorii au putut accesa datele furate în contul lor Google Analytics. Specialiștii Kaspersky au identificat peste 20 de site-uri infectate din întreaga lume, iar printre victime erau incluse magazine online din Europa și America de Nord și de Sud care vând echipamente digitale, produse cosmetice, produse alimentare, piese de schimb etc.

Detalii despre secvențele de cod dăunător și cum arată acestea incluse, precum și modul cum funcționează puteți descoperi la Securelist/Kaspersky.