研究人员周一报道,黑客滥用Google Analytics,以便更秘密地从受感染的电商网站中窃取被盗的信用卡数据。
支付卡掠夺过去只指感染实体店销售点机器的做法。恶意软件会提取信用卡号码和其他数据。然后,攻击者会使用或出售窃取的信息,以便将其用于支付卡诈骗。
最近,在黑客攻破电商网站之后,这类攻击已经扩大到针对电商网站的攻击。黑客利用他们获得的控制权安装未经授权的代码,这些代码深入后端系统,在在线交易期间接收和处理支付卡数据。然后,恶意代码复制数据。
成功实施黑客攻击的一个挑战是绕过网站安全策略,或者隐藏安装在受感染网络上的端点安全应用程序中大量敏感数据的外泄。卡巴斯基实验室的研究人员周一表示,他们最近观察到了大约24个受感染的地点,这些地点找到了一种实现这一目标的新方法。而不是发送到攻击者控制的服务器,攻击者将其发送到他们控制的Google Analytics帐户。由于谷歌服务的使用如此广泛,电子商务网站的安全政策通常完全信任它来接收数据。
卡巴斯基实验室研究员Victoria Vlasova在这里写道:“Google Analytics是一项非常受欢迎的服务(根据BuiltWith的数据,在2900万个网站上使用),并受到用户的盲目信任。”“管理员将*.google-analytics.com写入Content-Security-Policy标头(用于列出可从中下载第三方代码的资源),从而允许服务收集数据。更重要的是,无需从外部来源下载代码即可实施攻击。“。
这位研究人员补充说:“要获取使用谷歌分析的访问者的数据,网站所有者必须在analytics.google.com上的账户中配置跟踪参数,获取跟踪ID(trackingId,类似于UA-XXXX-Y的字符串),并将其与跟踪代码(一段特殊代码)一起插入网页。几个跟踪码可能会在一个网站上相互碰撞,将访问者的数据发送到不同的Analytics账户。
“UA-XXXX-Y”指的是Google Analytics用来区分帐户的跟踪ID。如下面的屏幕截图所示,显示了受感染站点上的恶意代码,ID(带下划线的)可以很容易地与合法代码混合在一起。
谷歌代表没有回复寻求对这篇报道发表评论的电子邮件,并询问谷歌分析公司是否有防止此类滥用的措施。
攻击者使用其他技术来保持隐蔽性。在某些情况下,如果输入支付卡数据的人打开了其浏览器的开发者模式,则取消数据虹吸。由于安全研究人员经常使用开发者模式来检测此类攻击,因此黑客在这些情况下放弃了数据窃取。在其他情况下,攻击者使用程序调试方法来隐藏恶意活动。
在网站上浏览支付卡仍然是一个问题,特别是对于那些向规模较小的在线商家购物的人来说,这些商家没有足够注意保护他们的系统。也有一些值得注意的例外,但一般来说,较大的网站不太容易受到这类黑客攻击。
在大多数情况下,如果不是所有情况下,终端用户不可能用肉眼检测到信用卡的掠夺。然而,大多数防病毒产品可以捕获所有或大部分此类攻击。在打开开发者模式的情况下进行在线购物不会有什么坏处,而且在很多情况下会有所帮助。除此之外,最好的防御措施是定期仔细审查未经授权购买和指控的声明。