Badacze z firmy Kaspersky wykryli nową technikę kradzieży informacji płatniczych użytkowników sklepów internetowych. Poprzez zarejestrowanie się na kontach Google Analytics oraz wstrzyknięcie specjalnego modułu śledzącego do kodu źródłowego stron internetowych cyberprzestępcy mogą gromadzić dane kart płatniczych użytkowników. Dotychczas przy użyciu tej metody naruszono bezpieczeństwo ponad dwudziestu sklepów online na świecie. Nowa metoda jest odmianą techniki zwanej „web skimming”.
Web skimming jest powszechnie wykorzystywany przez cyberprzestępców w celu kradzieży danych kart płatniczych użytkowników ze sklepów internetowych i polega na wstrzyknięciu fragmentów kodu do kodu źródłowego strony internetowej. Szkodliwy kod gromadzi następnie dane podawane przez odwiedzających stronę (tj. loginy rachunku płatniczego lub numery kart) i wysyła je na adres określony przez atakujących. Aby ukryć fakt naruszenia bezpieczeństwa danej strony internetowej, przestępcy często rejestrują domeny o nazwach, które przypominają popularne usługi analizy witryn, takie jak Google Analytics. W ten sposób, gdy wstrzykną szkodliwy kod, administratorowi strony trudniej jest rozpoznać, że doszło do naruszenia bezpieczeństwa strony. Na przykład stronę „googlc-analytics[.]com” łatwo jest uznać za legalna domenę.
Ponieważ dane nie są przekierowywane do nieznanego zasobu innych firm, administratorom trudno jest zauważyć, że doszło do naruszenia bezpieczeństwa strony internetowej. Osobom sprawdzającym kod źródłowy wydaje się, że strona jest po prostu połączona z oficjalnym kontem Google Analytics – co często ma miejsce w przypadku sklepów internetowych.
Aby jeszcze bardziej utrudnić rozpoznanie szkodliwej aktywności, cyberprzestępcy stosowali również powszechną technikę ochrony przed wykrywaniem błędów: jeśli administrator strony przegląda kod źródłowy strony internetowej przy użyciu trybu dewelopera, szkodliwy moduł nie jest wykonywany.
W ten sposób naruszono bezpieczeństwo ponad dwudziestu stron internetowych, w tym sklepów w Europie oraz Ameryce Północnej i Południowej.
Jest to nieznana wcześniej, a zarazem niezwykle skuteczna technika. Google Analytics stanowi jedną z najpopularniejszych usług analizy stron internetowych. Ponieważ ogromna większość programistów i użytkowników ma zaufanie do tej usługi, administratorzy stron często udzielają jej zgody na gromadzenie danych użytkowników. Z tego powodu szkodliwe wstrzyknięcia zawierające konta Google Analytics nie rzucają się w oczy i łatwo je przeoczyć. Dlatego administratorzy nie powinni zakładać, że jeśli jakiś zasób firmy zewnętrznej jest legalny, jego obecność w kodzie nie stanowi zagrożenia.
– powiedziała Wiktoria Własowa, starsza analityczka szkodliwego oprogramowania w firmie Kaspersky.
Po otrzymaniu informacji o problemie od badaczy z firmy Kaspersky firma Google potwierdziła, że prowadzi obecnie poważne prace mające na celu zmniejszenie możliwości wykorzystania tego rodzaju szkodliwych technik.
