Предупреждение на Kaspersky

Изследователите на Kaspersky откриха нова техника за кражба на информация за плащане от потребители на сайтове за онлайн пазаруване - този тип атака е известна като уеб скиминг.

Google Analytics

Чрез регистрация в Google Analytics и въвеждане на проследяващ код в изходния код на уебсайтове, нападателите могат да събират данни от кредитни карти от потребителите.

Около две дузини онлайн магазини по света са компрометирани с помощта на този метод.

Уеб скимингът е популярна практика, използвана от нападателите за кражба на данни за кредитни карти на потребителите от страниците за плащане в онлайн магазина чрез вмъкване на ред код в изходния код на сайта. След това този злонамерен код събира данните, въведени от посетителите на сайта (например потребителско име и парола или номера на кредитни карти) и изпраща събраните данни на адреса, посочен от нападателите в злонамерения код.

Kaspersky предупреждава, че нападателите са намерили нов начин да откраднат данните за плащане на потребителите

Често, за да скрият факта, че уеб страницата е компрометирана, нападателите записват имена на домейни, които приличат на популярни услуги за уеб анализ, като Google Analytics. По този начин, когато вмъквате злонамерен код, за администратора на сайта е по-трудно да осъзнае, че сайтът е компрометиран. Например сайт, наречен „googlc-analytics [.] Com“, лесно се бърка с легитимен домейн.

Наскоро обаче изследователите на Kaspersky откриха неизвестна досега техника за извършване на атаки за скиминг в мрежата. Вместо да пренасочват данни към източници на трети страни, те ги пренасочват към официални акаунти в Google Analytics. След като хакерите регистрираха акаунтите си в Google Analytics, остана само да конфигурират параметрите за проследяване на акаунта, за да получат идентификатор за проследяване. След това те въведоха злонамерения код заедно с проследяващия идентификатор в изходния код на уеб страницата, събирайки данни за посетителите и изпращайки ги директно в акаунтите в Google Analytics.

Тъй като данните не са насочени към неизвестен източник на трета страна, е трудно за администраторите да съобщят, че техният сайт е компрометиран. За тези, които изследват изходния код, изглежда, че страницата е свързана с официален акаунт в Google Analytics - доста често срещана практика за онлайн магазините.

Каква популярна техника използваха нападателите

За да направят злонамереността още по-трудна за демаскиране, нападателите също използваха популярна техника за отстраняване на грешки: ако администраторът на сайта изследва изходния код на уеб страницата, използвайки режим за разработчици, тогава зловредният код не се изпълнява.

Около две дузини уебсайтове са компрометирани по този начин, включително магазини в Европа, Северна и Южна Америка, според Mediafax.

„Това е техника, която никога досега не съм виждал и която е особено ефективна. Google Analytics е една от най-популярните услуги за уеб анализ на пазара. Повечето разработчици и потребители му се доверяват, което означава, че често се дава разрешение за събиране на потребителски данни от администраторите на сайта. Това прави вмъкването на злонамерен код, съдържащо акаунти в Google Analytics, по-малко очевидно и много лесно за пренебрегване. По правило администраторите не трябва да приемат, че само защото трета страна е очевидно легитимна, нейното присъствие в изходния код е напълно нормално “, казва Виктория Власова, старши анализатор на злонамерен софтуер в Kaspersky.

Kaspersky е информирал Google за проблема и компанията е потвърдила, че в момента провежда разследвания за откриване на нежелана поща.