Istraživači kompanije Kaspersky otkrili su novu tehniku za krađu platnih podataka korisnika na onlajn veb-sajtovima za kupovinu – vrsta napada poznata kao web skimming. Napadači mogu da prikupe podatke o kreditnim karticama korisnika registrovanjem za Google Analytics nalog, i unosa koda za praćenje naloga u izvorni kod veb-sajtova. Oko dve desetine onlajn prodavnica širom sveta kompromitovano je korišćenjem ove metode.
Web skimming napadi predstavljaju popularnu praksu koju napadači primenjuju kako bi ukrali informacije o kreditnim karticama korisnika sa stranica za unos platnih podataka na onlajn prodavnicama, prilikom koje napadači ubacuju delove koda u izvorni kod veb-sajta. Ovaj maliciozni kod zatim prikuplja podatke koje su posetioci sajta uneli (tj. šifre platnih naloga ili brojeve kreditnih kartica) i šalje prikupljene podatke na adresu koju su napadači odredili u malicioznom kodu. Kako bi sakrili činjenicu da je veb-stranica kompromitovana, napadači često registruju domene sa imenima koja liče na imena popularnih servisa za veb analitiku, kao što je Google Analytics. Na taj način, kada napadači ubace maliciozni kod, administratoru sajta je teže da primeti da je sajt kompromitovan. Na primer, lako je pomisliti da sajt pod nazivom “googlc-analytics[.]com” predstavlja legitiman domen.
Nedavno, međutim, istraživači kompanije Kaspersky otkrili su prethodno nepoznatu tehniku za sprovođenje veb skimming napada. Umesto preusmeravanja podataka na izvore trećih strana, oni su preusmeravani na zvanične Google Analytics naloge. Kada su napadači registrovali svoje naloge na Google Analytics, sve što su još trebali da urade jeste da konfigurišu parametre za praćenje naloga kako bi dobili ID praćenja. Oni zatim mogu da ubace maliciozni kod i ID praćenja u izvorni kod veb-stranice, što im omogućuje da prikupljaju podatke posetioca i te podatke direktno šalju na svoje Google Analytics naloge.
S obzirom na to da se podaci ne preusmeravaju na nepoznati resurs treće strane, administratorima je teško da prepoznaju da je sajt kompromitovan. Onima koji ispituju izvorni kod samo izgleda kao da je stranica povezana sa zvaničnim Google Analytics nalogom – što je uobičajena praksa za onlajn prodavnice.
Kako bi malicioznu aktivnost učinili još težom za prepoznavanje, napadači su takođe primenili uobičajenu tehniku anti-debagovanja: ukoliko administrator izvrši proveru izvornog koda veb-stranice korišćenjem Developer opcije, onda maliciozni kod nije uspešno izvršen.
Otkriveno je da je oko dve desetine veb-sajtova kompromitovano na ovaj način, uključujući prodavnice u Evropi i Severnoj i Južnoj Americi.
“Ovo je tehnika sa kojom se nismo susretali ranije, i izuzetno je efikasna. Google Analytics je jedan od najpopularnijih servisa za veb analitiku. Većina programera i korisnika imaju poverenja u njega, što znači da mu administratori sajtova često daju dozvolu za prikupljanje podataka o korisnicima. To maliciozne kodove koji sadrže Google Analytics naloge čini neupadljivim – i lako ih je prevideti. Po pravilu, administratori ne treba da pretpostavjaju da je, samo zato što je resurs treće strane legitiman, njegovo prisustvo u kodu prihvatljivo,” komentariše Viktorija Vlasova (Victoria Vlasova), viši analitičar malvera, Kapspersky.
Kompanija Kaspersky informisala je kompaniju Google o ovom problemu, i oni su potvrdili da preduzimaju kontinuirane aktivnosti za prepoznavanje spamova.
Saznajte više o ovoj novoj tehnici veb skimming napada na Securelist.
Kako biste bili bezbedni od veb skimming napada, kompanija Kaspersky savetuje sledeće:
- Koristite pouzdano bezbednosno rešenje kao što je Kaspersky Security Cloud, koje može da prepozna i blokira pokretanje malicioznih skriptova ili da onemogući funkcionisanje Google Analytics servisa korišćenjem Safe Browser opcije.