Хакеры используют Google Analytics для получения данных кредитных карт

Дата: 24.06.2020. Автор: Артем П. Категории: Главное по информационной безопасности, Новости по информационной безопасности.

Сервис Google Analytics оказался в центре скандала. Экспертами по информационной безопасности было выявлено, что сервис используется киберпреступниками для похищения данных банковских карт с сайтов электронной коммерции, которые были скомпрометированы ранее.

22 июня ИБ-специалисты обнаружили, что киберпреступники во всю пользуются сервисом Google Analytics, чтобы скрытно красть данные кредитных карт с зараженных вредоносным ПО порталов электронной коммерции.

Соответствующие отчеты о подобной киберпреступной деятельности были опубликованы сразу несколькими крупными компаниями (Kaspersky, Sansec, PerimetrX). По результатам исследований стала ясна схема работы киберпреступников: они интегрируют код кражи данных кредитных карт и код отслеживания, на скомпрометированные сайты. Код создается в учетной записи киберпреступника на Google Analytics, за счет чего у хакера появляется возможность отфильтровать полученную финансовую информацию, которая была введена жертвой на скомпрометированном сайте. Причем данные киберпреступник получает даже в том случае, если политика безопасности контента применяется на портале в максимальном объеме.

«Лаборатория Касперского» в своем отчете рассказала о следующем: «Киберпреступники внедряют вредоносный код в сайты, на которых собирается пользовательская платежная информация, после чего отправляют скомпрометированные данные в Google Analytics и фильтруют их там. В итоге в своем аккаунту Google Analytics они имеют полный доступ к украденным данным».

Кибератака такого типа базируется на предположении, что сайт, занимающийся электронной коммерцией и использующий в работе сервис Google Analytics для мониторинга посетителей, включил соответствующие домены Google в собственную политику безопасности контента (CSP).

Представители компании PerimetrX следующим образом прокомментировали обнаруженные атаки: «Основная проблема состоит в том, что CSP детализирована в недостаточной степени. Чтобы распознать и остановить вредоносный запрос, необходимы специальные решения, которые смогут обнаружить проникновение и фильтрацию конфиденциальных данных пользователей».

В отчете «Лаборатории Касперского» также сказано следующее: «Администраторы сайтов вносят адрес ***.google-analytics.com в заголовок CSP (применяется для перечисления сервисов, с которых можно загружать сторонний код), поэтому служба собирает конфиденциальные данные без ограничений. В этом случае открывается широкий простор для действий злоумышленников. В ряде случаев успешная кибератака с кражей данных кредитных карт проводится и без использования процедуры внедрения вредоносного кода».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

13 − 9 =