Cercetătorii Kaspersky au descoperit o nouă tehnică pentru furtul informaţiilor de plată ale utilizatorilor de pe site-urile de cumpărături online, un tip de atac cunoscut sub numele de web skimming, prin care atacatorii pot fura detaliile de plată ale utilizatorilor prin înregistrarea pe Google Analytics şi introducerea unui cod de urmărire a conturilor în codul sursă al site-urilor web.

Distribuie pe Facebook Distribuie pe Twitter Distribuie pe Email

”Cercetătorii Kaspersky au descoperit o nouă tehnică pentru furtul informaţiilor de plată ale utilizatorilor de pe site-urie de cumpărături online – acest tip de atac este cunoscut sub numele de web skimming. Prin înregistrarea pe Google Analytics şi introducerea unui cod de urmărire a conturilor în codul sursă al site-urilor web, atacatorii pot colecta detaliile cardurilor de credit ale utilizatorilor. Aproximativ două duzini de magazine online din întreaga lume au fost compromise folosind această metodă”, arată compania de securitate cibernetică Kaspersky.

Skimming-ul web este o practică populară, utilizată de către atacatori pentru a fura detaliile cardurilor de credit ale utilizatorilor din paginile de plată ale magazinelor online, prin introducerea unei linii de cod în codul sursă al site-ului. Acest cod rău intenţionat colectează apoi datele introduse de vizitatori pe site (de exemplu, numele de utilizator şi parola sau numerele cardului de credit) şi trimite datele recoltate la adresa specificată de atacatori în codul rău intenţionat.

”Adesea, pentru a ascunde faptul că pagina web a fost compromisă, atacatorii înregistrează domenii cu nume care seamănă cu servicii populare de analiză web, cum ar fi Google Analytics. În acest fel, atunci când inserează codul rău intenţionat, este mai greu pentru administratorul site-ului să îşi dea seama că site-ul a fost compromis”, spun specialiştii.

De exemplu, un site denumit “googlc-analytics[.]com” este uşor de confundat cu un domeniu legitim.

Recent, însă, cercetătorii Kaspersky au descoperit o tehnică necunoscută anterior pentru efectuarea de atacuri de skimming web. În loc să redirecţioneze datele către surse terţe, aceştia le-au redirecţionat către conturile oficiale Google Analytics. Odată ce atacatorii au înregistrat conturile pe Google Analytics, tot ce a mai rămas de făcut a fost să configureze parametrii de urmărire a conturilor pentru a primi un ID de urmărire. Au introdus apoi codul rău intenţionat împreună cu ID-ul de urmărire în codul sursă al paginii web, reuşind astfel să colecteze date despre vizitatori şi să le trimită direct în conturile Google Analytics.

Întrucât datele nu sunt direcţionate către o sursă terţă necunoscută, administratorilor le este greu să sesizeze că site-ul lor a fost compromis. Pentru cei care examinează codul sursă, apare ca şi cum pagina ar fi conectată la un cont oficial Google Analytics – o practică destul de comună pentru magazinele online.

Pentru ca activitatea rău intenţionată să fie şi mai greu de demascat, atacatorii au folosit şi o tehnică populară de anti-debugging: dacă un administrator al site-ului examinează codul sursă al paginii web folosind modul Dezvoltator, atunci codul rău intenţionat nu este executat.

Aproximativ două duzini de site-uri web au fost compromise în acest fel, incluzând magazine din Europa, America de Nord şi de Sud.

“Aceasta este o tehnică pe care nu am mai văzut-o şi care este deosebit de eficientă. Google Analytics este unul dintre cele mai populare servicii de analiză web de pe piaţă. Majoritatea dezvoltatorilor şi a utilizatorilor au încredere în acesta, ceea ce înseamnă că i se acordă frecvent permisiunea de a colecta datele utilizatorilor de către administratorii site-ului. Acest lucru face ca inserţiile de cod rău intenţionate care conţin conturi Google Analytics să fie mai puţin evidente şi foarte uşor de trecut cu vederea. De regulă, administratorii nu ar trebui să presupună că doar pentru că o parte terţă este una aparent legitimă, prezenţa ei în codul sursă este perfect normală,” spune Victoria Vlasova, senior malware analyst la Kaspersky.

Kaspersky i-a informat pe cei de la Google despre problemă, iar compania a confirmat că derulează investigaţii de detectare a spam-ului în acest moment.

”Pentru a nu cădea în capcana skimming-ului web, experţii Kaspersky recomandă: Folosiţi o soluţie de securitate fiabilă, care poate detecta şi bloca rularea scripturilor rău intenţionate sau poate dezactiva complet Google Analytics, cu ajutorul funcţiei Safe Browser”, arată compania.

Kaspersky este o companie globală de securitate cibernetică fondată în 1997. Peste 400 de milioane de utilizatori individuali sunt protejaţi de tehnologiile Kaspersky, precum şi 270.000 de companii client, pe care le ajutăm să protejeze ce e mai important pentru ele.

viewscnt

Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa abonamente@news.ro.