Злоумышленники используют Google Analytics для сбора платежных данных в онлайн-магазинах – «Лаборатория Касперского»
Злоумышленники начали использовать для сбора платежных данных пользователей онлайн-магазинов (веб-скимминг) инструмент Google Analytics. Об этом сообщает «Лаборатория Касперского».
Эксперты компании отмечают, что злоумышленники внедряют в страницы чужого сайта вредоносный код, например, через проникновение в систему управления контентом (CMS – Content Management System) сайта. Код сохраняет все действия пользователя (включая, к примеру, вводимые им данные банковских карт) и передает собранную информацию хозяину.
Google Analytics используется именно для передачи собранных данных посредством обхода механизма защиты от веб-скиммеров. Один из механизмов борьбы называется Content Security Policy (CSP). Он реализован в виде технического хедера, в котором перечислены сервисы, имеющие право на сбор информации на конкретном сайте или странице. Если адреса злоумышленников там нет, то вывести собранную информацию не получится. Но, практически все сайты тщательно следят за статистикой посещения. Сервис Google Analytics позволяет собирать множество параметров и сейчас используется примерно на 29 миллионах сайтов. Вероятность, что передача данных Google Analytics будет разрешена в CSP-заголовке интернет-магазина, крайне высока. Все, что нужно для сбора статистики на сайте — настроить параметры отслеживания и вставить на страницы ресурса специальный код. С точки зрения сервиса, если вы можете вставить этот код на сайт — значит, являетесь легитимным представителем владельца этого ресурса. Так вредоносный скрипт собирал данные посетителей, а затем, используя код отслеживания, которым его снабдил злоумышленник, отправлял их с помощью Google Analytics Measurement Protocol прямиком в личный кабинет атакующего.
Пандемия COVID-19 способствовала повсеместному переходу торговли в онлайн как во всем мире, так и в Армении, и всем онлайн-магазинам необходима защита от утечки данных их пользователей через сайт. Для этого следует обновлять используемое программное обеспечение, не забывая про веб (CMS и все ее плагины) и не устанавливать компоненты CMS из непроверенных источников.
Также нужно проводить строгую политику доступа к CMS: ограничивать права пользователей до минимально необходимых и использовать надежные и уникальные пароли. Рекомендуется периодическое проведение аудита безопасности сайта с платежной формой. Пользователям же следует использовать надежное защитное ПО, которое обладает функцией выявления вредоносные скриптов на платежных сайтах благодаря технологии «безопасных платежей».
Подробности о новом механизме веб-скимминга – на сайте Securelist.