Google Analytics: oszuści mają nowe sztuczki, by kraść dane kart płatniczych

Badacze zabezpieczeń ustalili, że mechanizmy Google Analytics są coraz częstszymi środkami do tego, aby infekować sklepy internetowe i wyłudzać dane kart płatniczych.

Hakerzy używają nieautoryzowanego kodu i ukrywają go głęboko w infrastrukturze (tzw. backendzie) strony, wśród systemów odpowiadających za przetwarzanie płatności w transakcjach internetowych.

Jak się okazuje kod ten, bez wiedzy użytkowników, kopiuje dane ich kart/metod płatności.

Badacze firmy Kaspersky Lab poinformowali w tym tygodniu, że zaobserwowali ponad 20 stron internetowych z nowym mechanizmem oszustwa.

Nie użyto w nich przekierowania na serwery hackerów, lecz wrażliwe dane przekierowano na konta Google Analytics, które należały do oszustów. Szkopuł polega na tym, że większość sklepów internetowych i serwisów e-commerce w zasadzie w pełni ufa serwisowi Google, aby otrzymywał wszystkie dane.

Aby pobierać dane od użytkowników, właściciel witryny musi ustawić parametry śledzenia na analytics.google.com i uzyskać kod śledzenia. Ta metoda wykorzystuje mechanizm obejścia tzw. Content Security Policy w Google Analytics.

Niedawno wykryci oszuści używali kilku różnych parametrów, które wysyłały dane do paru osobnych kont Analytics. Firma Google zainterweniowała na odkrycie analityków Kaspersky Lab i zawiesiła podejrzane konta.

W przyszłości takich ataków może być coraz więcej, gdyż zmanipulowany kod do wyłudzania danych do Analytics można łatwo i niepostrzeżenie komponować we właściwy kod strony.

Jak się przed takimi działaniami zabezpieczyć? Gołym okiem nie sposób to zrobić. Przydatne może być oprogramowanie antywirusowe, a także dokonywanie płatności w trybie dewelopera w przeglądarce, lub w skrajnym przypadku zablokowanie Google Analytics.