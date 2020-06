Uwaga na karty płatnicze! Firma Kaspersky poinformowała właśnie o wykryciu zupełnie nowego sposobu kradzieży danych z plastików używanych do płacenia podczas zakupów online. Cyberprzestępcy wykorzystują do tego rejestrację na Google Analytics, a następnie wstrzykują do kodu źródłowego stron internetowych specjalny moduł śledzący, który otwiera im drogę do pozyskiwania danych kart płatniczych.

Z tego tekstu dowiesz się m.in.:

Na czym polega nowy rodzaj ataków typu web skimming?

Jaką rolę odgrywa przy tym Google Analytics?

Jak się chronić?



Jest to nieznana wcześniej, a zarazem niezwykle skuteczna technika. Google Analytics stanowi jedną z najpopularniejszych usług analizy stron internetowych. Ponieważ ogromna większość programistów i użytkowników ma zaufanie do tej usługi, administratorzy stron często udzielają jej zgody na gromadzenie danych użytkowników. Z tego powodu szkodliwe wstrzyknięcia zawierające konta Google Analytics nie rzucają się w oczy i łatwo je przeoczyć. Dlatego administratorzy nie powinni zakładać, że jeśli jakiś zasób firmy zewnętrznej jest legalny, jego obecność w kodzie nie stanowi zagrożenia – powiedziała Wiktoria Własowa, starsza analityczka szkodliwego oprogramowania w firmie Kaspersky.

Jak czytamy w komunikacie opublikowanym przez Kaspersky, nowa metoda ataków jest odmianą techniki nazywanej „web skimming”. Obserwacje prowadzone przez badaczy dowodzą, że do tej pory przy jej użyciu naruszono bezpieczeństwo przeszło dwudziestu sklepów internetowych w Europie oraz Ameryce Północnej i Południowej.Web skimming jest techniką powszechnie stosowaną przez cyberprzestępców. Służy ona kradzieży danych kart płatniczych klientów sklepów internetowych. Na czym polega?Atakujący wstrzykują na fragmenty szkodliwego kodu do kodu źródłowego strony internetowej. W ten właśnie sposób możliwe staje się gromadzenie danych ujawnianych przez odwiedzających stronę (tj. loginy rachunku płatniczego lub numery kart) i wysyła je na adres określony przez atakujących.Aby ukryć fakt naruszenia bezpieczeństwa danej strony internetowej, przestępcy często rejestrują domeny o nazwach, które przypominają popularne usługi analizy witryn, takie jak Google Analytics. W ten sposób, gdy wstrzykną szkodliwy kod , administratorowi strony trudniej jest rozpoznać, że doszło do naruszenia bezpieczeństwa strony. Na przykład stronę „googlc-analytics[.]com” łatwo jest uznać za legalna domenę.Niedawno badacze z firmy Kaspersky odkryli nieznaną wcześniej technikę przeprowadzania ataków typu web skimming. Zamiast przekierowywania danych do źródeł innych firm, cyberprzestępcy przekierowywali je do oficjalnych kont Google Analytics. Po zarejestrowaniu kont w Google Analytics atakującym pozostawało jedynie skonfigurowanie parametrów śledzenia kont, tak aby otrzymywali identyfikator śledzenia. Następnie wstrzykiwali szkodliwy kod wraz z identyfikatorem śledzenia do kodu źródłowego strony internetowej, co pozwalało gromadzić dane dotyczące odwiedzających oraz wysyłać je bezpośrednio do kont Google Analytics.Ponieważ dane nie są przekierowywane do nieznanego zasobu innych firm, administratorom trudno jest zauważyć, że doszło do naruszenia bezpieczeństwa strony internetowej. Osobom sprawdzającym kod źródłowy wydaje się, że strona jest po prostu połączona z oficjalnym kontem Google Analytics – co często ma miejsce w przypadku sklepów internetowych.Aby jeszcze bardziej utrudnić rozpoznanie szkodliwej aktywności, cyberprzestępcy stosowali również powszechną technikę ochrony przed wykrywaniem błędów: jeśli administrator strony przegląda kod źródłowy strony internetowej przy użyciu trybu dewelopera, szkodliwy moduł nie jest wykonywany.Po otrzymaniu informacji o problemie od badaczy z firmy Kaspersky firma Google potwierdziła, że prowadzi obecnie poważne prace mające na celu zmniejszenie możliwości wykorzystania tego rodzaju szkodliwych technik.W celu ochrony przed web skimmingiem eksperci z firmy Kaspersky zalecają stosowanie niezawodnego rozwiązania bezpieczeństwa, które potrafi wykrywać szkodliwe skrypty i blokować ich uruchomienie lub całkowicie wyłączać Google Analytics przy użyciu funkcji Bezpieczna przeglądarka.