Попередження Касперського

Дослідники Касперського відкрили нову техніку викрадення платіжної інформації у користувачів на веб-сайтах, що здійснюють покупки в Інтернеті - такий тип атак відомий як веб-скіммінг.

попередження

Зареєструвавшись у Google Analytics і ввівши код відстеження у вихідний код веб-сайтів, зловмисники можуть збирати дані користувачів про кредитну картку.

Близько двох десятків інтернет-магазинів у всьому світі були скомпрометовані за допомогою цього методу.

Веб-скіммінг - це популярна практика, яка використовується зловмисниками для викрадення даних кредитних карток користувачів зі сторінок оплати в Інтернет-магазині шляхом вставки рядка коду у вихідний код сайту. Потім цей зловмисний код збирає дані, введені відвідувачами сайту (наприклад, ім’я користувача та пароль або номери кредитних карток), та відправляє зібрані дані на адресу, вказану зловмисниками у зловмисному коді.

Касперський попереджає, що зловмисники виявили новий спосіб викрадення платіжних реквізитів користувачів

Часто, щоб приховати той факт, що веб-сторінка скомпрометована, зловмисники записують доменні імена, що нагадують популярні служби веб-аналітики, такі як Google Analytics. Таким чином, коли ви вставляєте шкідливий код, адміністратору сайту важче усвідомити, що сайт зламаний. Наприклад, сайт під назвою “googlc-analytics [.] Com” легко сплутати із законним доменом.

Однак нещодавно дослідники Касперського виявили раніше невідому техніку виконання атак веб-скіммінгу. Замість того, щоб перенаправляти дані до сторонніх джерел, вони перенаправляли їх в офіційні облікові записи Google Analytics. Після того, як зловмисники зареєстрували свої облікові записи в Google Analytics, залишилось лише налаштувати параметри відстеження облікового запису для отримання ідентифікатора відстеження. Потім вони ввели шкідливий код разом із ідентифікатором відстеження у вихідний код веб-сторінки, збираючи дані про відвідувачів та надсилаючи їх безпосередньо до облікових записів Google Analytics.

Оскільки дані не спрямовані до невідомого стороннього джерела, адміністраторам важко повідомити, що їх веб-сайт скомпрометований. Для тих, хто вивчає вихідний код, здається, ніби сторінка підключена до офіційного облікового запису Google Analytics - досить поширена практика для інтернет-магазинів.

Яку популярну техніку використовували зловмисники

Щоб зробити зловмисну ​​діяльність ще важче розкрити, зловмисники також застосували популярну техніку боротьби з налагодженням: якщо адміністратор сайту перевіряє вихідний код веб-сторінки в режимі розробника, зловмисний код не виконується.

Близько двох десятків веб-сайтів були скомпрометовані таким чином, включаючи магазини в Європі, Північній та Південній Америці, повідомляє Mediafax.

"Це техніка, якої я ніколи раніше не бачив і яка є особливо ефективною. Google Analytics - одна з найпопулярніших послуг веб-аналітики на ринку. Більшість розробників та користувачів довіряють йому, а це означає, що адміністраторам сайтів часто дають дозвіл на збір даних користувачів. Це робить вставки шкідливого коду, що містять облікові записи Google Analytics, менш очевидними та дуже простими для пропуску. Як правило, адміністратори не повинні вважати, що лише тому, що третя сторона є, здавалося б, законною, її присутність у вихідному коді є цілком нормальною », - говорить Вікторія Власова, старший аналітик зловмисного програмного забезпечення Kaspersky.

Касперський повідомив Google про проблему, і компанія підтвердила, що наразі проводить розслідування щодо виявлення спаму.