Técnica descoberta pela Kaspersky utiliza contas oficiais do serviço do Google para ocultar ataques de web skimming contra lojas virtuais
Cibercriminosos estão usando contas oficiais do Google Analytics para rastrear e roubar informações de clientes que compram em lojas virtuais. A nova técnica descoberta por especialistas da Kaspersky já atingiu dezenas de e-commerce no mundo e permite que os hackers coletem dados confidenciais de usuários – como dados dos cartões de crédito – sem serem notados pelos administradores dos sites.
De acordo com a empresa de cibersegurança, para obter essas informações, os criminosos invadem o código-fonte das lojas virtuais e injetam nele um código de rastreamento. A partir dessa manobra, os dados inseridos pelos consumidores dos sites hackeados – como credenciais de serviços de pagamento ou números de cartão de crédito – são redirecionados para os invasores, que passam a ter acesso integral às informações confidenciais dos clientes. A tática, conhecida como web skimming, não é nova; porém, o que chamou a atenção neste caso foi a artimanha que os hackers encontraram para não serem percebidos.
Ao invés de usar sites falsos ou disfarçados – como normalmente acontece nessa modalidade de ataque –, os criminosos estão injetando inscrições geradas a partir de contas oficiais do Google Analytics. Funciona assim: ao se registrarem na ferramenta, eles configuram os parâmetros do seu perfil para receber um ID de rastreamento. Esse ID é então inserido no código-fonte do e-commerce invadido, juntamente com o código malicioso, e os dados roubados são encaminhados para contas verdadeiras do serviço de análises do Google. A manobra permite ocultar a ação dos hackers – ao examinar o código-fonte da página, o administrador não encontrará nenhuma conexão com domínios estranhos, mas apenas ligações com contas oficiais do Analytics, o que é uma prática comum nos sites de e-commerce.
Para dificultar ainda mais a detecção do golpe, os invasores também empregaram uma técnica comum de anti-debugging: se um administrador do site revisar o código-fonte usando o modo desenvolvedor, o código malicioso não será executado.
“Essa é uma técnica que nunca vimos antes e que é particularmente eficaz. O Google Analytics é um dos serviços de análise web mais populares do mercado. A grande maioria dos desenvolvedores e usuários confia nele, o que significa que o serviço é frequentemente autorizado pelos administradores para coletar dados de usuários. Isso faz com que o uso mal-intencionado dessa ferramenta se torne imperceptível e fácil de ignorar. Como regra, os administradores não devem assumir que, apenas porque o recurso de terceiros é legítimo, sua presença no código está correta”, comenta Victoria Vlasova, analista sênior de malware da Kaspersky.
A Kaspersky reportou o problema ao Google e a empresa confirmou que tem feito investimentos constantes para as detecções desses abusos.
Para mais informações sobre esta nova técnica de web skimming, acesse o post completo no Securelist.
Para o consumidor se proteger contra os web skimmers, os especialistas da Kaspersky recomendam:
- Utilizar uma solução de segurança confiável como o Kaspersky Security Cloud, que detecta e impede a execução de scripts maliciosos, além de permitir a desativação completa do Google Analytics por meio do recurso Safe Browser.
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 250.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em http://www.kaspersky.com.br.
