Kaspersky figyelmeztetés

A Kaspersky kutatói felfedeztek egy új technikát a fizetési információk ellopására a felhasználóktól az online vásárlási oldalakon - ez a fajta támadás web skimming néven ismert.

alkalmazások „pontatlanok

A támadók a Google Analytics szolgáltatásban történő regisztrációval és a webhelyek forráskódjába követőkód beírásával hitelkártya-adatokat gyűjthetnek a felhasználóktól.

Körülbelül két tucat online áruház került veszélybe ezzel a módszerrel.

A webes átfedés népszerű gyakorlat, amelyet a támadók arra használnak, hogy ellopják a felhasználók hitelkártyájának adatait az online áruház fizetési oldalairól, egy kódsor beszúrásával a webhely forráskódjába. Ez a rosszindulatú kód összegyűjti a webhely látogatói által beírt adatokat (például felhasználónév és jelszó, vagy hitelkártyaszámok), és az összegyűjtött adatokat elküldi a támadók által a rosszindulatú kódban megadott címre.

A Kaspersky arra figyelmeztet, hogy a támadók új módszert fedeztek fel a felhasználók fizetési részleteinek ellopására

Gyakran azért, hogy elrejtsék a weboldal sérülését, a támadók olyan domainneveket rögzítenek, amelyek hasonlítanak a népszerű webanalitikai szolgáltatásokra, például a Google Analyticsre. Így rosszindulatú kód beillesztésekor a webhely rendszergazdájának nehezebb felismernie, hogy a webhelyet feltörték. Például egy „googlc-analytics [.] Com” nevű webhely könnyen összetéveszthető egy legitim domainnel.

A közelmúltban azonban a Kaspersky kutatói felfedeztek egy eddig ismeretlen technikát a webes skimming támadások végrehajtására. Az adatok harmadik fél forrásaihoz történő átirányítás helyett a hivatalos Google Analytics-fiókokhoz irányították őket. Miután a támadók regisztrálták fiókjaikat a Google Analytics szolgáltatásban, nem maradt más, mint konfigurálni a fiókkövetési paramétereket, hogy megkapják a követési azonosítót. Ezután bevitték a rosszindulatú kódot a követési azonosítóval együtt a weboldal forráskódjába, gyűjtötték a látogatói adatokat, és közvetlenül elküldték azokat a Google Analytics-fiókokba.

Mivel az adatokat nem egy ismeretlen harmadik féltől származó forráshoz irányítják, az adminisztrátorok számára nehéz jelenteni, hogy a webhelyüket feltörték. Azok számára, akik megvizsgálják a forráskódot, úgy tűnik, mintha az oldal hivatalos Google Analytics-fiókkal lenne összekapcsolva - ez meglehetősen általános gyakorlat az online áruházak számára.

Milyen népszerű technikát alkalmaztak a támadók

Annak érdekében, hogy a rosszindulatú tevékenységet még nehezebb legyen leleplezni, a támadók egy népszerű hibakeresés-gátló technikát is alkalmaztak: ha egy webhely rendszergazdája Developer módban vizsgálja a weboldal forráskódját, akkor a rosszindulatú kód nem kerül végrehajtásra.

Körülbelül két tucat weboldal került ilyen módon veszélybe, köztük Európa, Észak- és Dél-Amerika üzletei a Mediafax szerint.

"Ez egy olyan technika, amelyet még soha nem láttam, és amely különösen hatékony. A Google Analytics az egyik legnépszerűbb webanalitikai szolgáltatás a piacon. A legtöbb fejlesztő és felhasználó bízik benne, ami azt jelenti, hogy a webhely rendszergazdái gyakran engedélyt kapnak a felhasználói adatok gyűjtésére. Ezáltal a Google Analytics-fiókokat tartalmazó rosszindulatú kód-beillesztések kevésbé nyilvánvalóak és nagyon könnyen figyelmen kívül hagyhatók. Rendszerint az adminisztrátoroknak nem szabad azt feltételezniük, hogy csak azért, mert egy harmadik fél látszólag legitim, jelenléte a forráskódban teljesen normális ”- mondja Victoria Vlasova, a Kaspersky vezető kártevőelemzője.

A Kaspersky tájékoztatta a Google-t a problémáról, és a cég megerősítette, hogy spam-felderítési vizsgálatot folytat jelenleg.