المتسللون يستغلون Google Analytics لسرقة بيانات بطاقات الائتمان
قالت شركة الأمن السيبراني إنها عثرت على حوالي عشرين من المواقع المصابة في جميع أنحاء أوروبا وأمريكا الشمالية والجنوبية المتخصصة في بيع المعدات الرقمية ومستحضرات التجميل والمنتجات الغذائية وقطع الغيار.
متابعات-ميكسي نيوز
وفقا لعدة تقارير مستقلة من Pirimeterxو كاسبرسكي، و Sansec، يتم الآن ضخ فاعلات التهديدات رمز سرقة البيانات على مواقع الويب المعرضة للخطر مع رمز التتبع الذي تم إنشاؤه بواسطة Google Analytics لحسابهم الخاص ، مما يتيح لهم exfiltrate معلومات الدفع التي أدخلها المستخدمون حتى في الظروف التي يتم فيها تطبيق سياسات أمان المحتوى لتحقيق أقصى أمان على الويب.
وقال كاسبرسكي في تقرير نُشر أمس: “قام المهاجمون بضخ التعليمات البرمجية الضارة في مواقع ، والتي جمعت جميع البيانات التي أدخلها المستخدمون ثم أرسلوها عبر التحليلات”. “ونتيجة لذلك ، يمكن للمهاجمين الوصول إلى البيانات المسروقة في حساب Google Analytics الخاص بهم.”
قالت شركة الأمن السيبراني إنها عثرت على حوالي عشرين من المواقع المصابة في جميع أنحاء أوروبا وأمريكا الشمالية والجنوبية المتخصصة في بيع المعدات الرقمية ومستحضرات التجميل والمنتجات الغذائية وقطع الغيار.
تجاوز سياسة أمان المحتوى
يعتمد الهجوم على فرضية أن مواقع التجارة الإلكترونية التي تستخدم خدمة تحليلات الويب من Google لتتبع الزائرين قد أدت إلى قاذفة المجالات المرتبطة بها في سياسة أمان المحتوى الخاصة بهم (CSP).
CSP هو مقياس الأمن المضافة يساعد ذلك في اكتشاف التهديدات وتخفيفها برنامج البرمجة النصية عبر المواقع نقاط الضعف وغيرها من أشكال هجمات حقن الكود ، بما في ذلك تلك التي تبنتها مجموعات Magecart المختلفة.
تتيح ميزة الأمان لمشرفي المواقع تحديد مجموعة من المجالات التي يجب السماح لمستعرض الويب بالتفاعل معها لعنوان URL محدد ، وبالتالي منع تنفيذ التعليمات البرمجية غير الموثوق بها.
وقال نائب رئيس شركة Perimeterx من الأبحاث Amir Shaked: “مصدر المشكلة هو أن نظام قاعدة CSP ليس محببًا بما فيه الكفاية”. “يتطلب التعرف على طلب JavaScript الخبيث ووقفه حلولًا متقدمة من الرؤية التي يمكنها اكتشاف وصول بيانات المستخدم الحساسة وتوضيحها (في هذه الحالة ، عنوان البريد الإلكتروني للمستخدم وكلمة المرور).”
لحصاد البيانات باستخدام هذه التقنية ، كل ما هو مطلوب هو جزء صغير من رمز JavaScript الذي ينقل التفاصيل التي تم جمعها مثل بيانات الاعتماد ومعلومات الدفع من خلال حدث وغيرها من المعلمات التي تستخدمها Google Analytics لتحديد الإجراءات المختلفة بشكل فريد على الموقع.
“يكتب المسؤولون *.google-analalytics.com في رأس السياسة المحتوى (المستخدمة في إدراج الموارد التي يمكن من خلالها تنزيل رمز الطرف الثالث) ، مما يسمح للخدمة بجمع البيانات. والأكثر من ذلك ، يمكن تنفيذ الهجوم دون تنزيل رمز من مصادر خارجية”.
لجعل الهجمات أكثر سرية ، يتأكد المهاجمون أيضًا ما إذا كان وضع المطور – وهو ميزة تستخدم غالبًا لاكتشاف طلبات الشبكة وأخطاء الأمان ، من بين أشياء أخرى – يتم تمكينها في متصفح الزائر ، والمضي قدماً فقط إذا كانت نتيجة هذا الشيك سلبية.
حملة “رواية” منذ مارس
في تقرير منفصل صدر أمس ، كشفت Sansec التي تتخذ من هولندا مقراً لها ، والتي تتتبع هجمات القشط الرقمي ، حملة مماثلة منذ 17 مارس قدمت الرمز الضار على العديد من المتاجر باستخدام رمز JavaScript الذي تم استضافته على Firebase من Google.
بالنسبة للتشويش ، أنشأ الممثل وراء العملية iframe مؤقتًا لتحميل حساب Google Analytics الذي يسيطر عليه المهاجم. ثم يتم تشفير بيانات بطاقة الائتمان التي تم إدخالها في نماذج الدفع وإرسالها إلى وحدة التحكم في التحليلات التي يتم استردادها باستخدام مفتاح التشفير المستخدم سابقًا.
بالنظر إلى الاستخدام الواسع النطاق لتحليلات Google في هذه الهجمات ، لن تعمل التدابير المضادة مثل CSP إذا استفاد المهاجمون من المجال المسموح به بالفعل باختطاف المعلومات الحساسة.
وخلص Shake إلى أن “الحل المحتمل سيأتي من عناوين URL التكيفية ، وإضافة المعرف كجزء من عنوان URL أو المجال الفرعي للسماح للمسؤولين بتعيين قواعد CSP التي تقيد عملية التخلص من البيانات على حسابات أخرى”.
“اتجاه مستقبلي أكثر حبيبًا لتقوية اتجاه CSP للنظر فيه كجزء من معيار CSP بروكسي XHR إنفاذ. سيؤدي ذلك بشكل أساسي إلى إنشاء WAF من جانب العميل يمكنه فرض سياسة حول المكان الذي يُسمح فيه بحقل (حقل) بيانات محدد. “
كعميل ، لسوء الحظ ، لا يوجد الكثير مما يمكنك القيام به لحماية نفسك من هجمات الصياغة. يمكن أن يساعد تشغيل وضع المطور في المتصفحات عند إجراء عمليات الشراء عبر الإنترنت.
لكن من الضروري أن تراقب أي حالات من عمليات الشراء غير المصرح بها أو سرقة الهوية.
