Google Analytics é usado como um canal de exfiltração de dados

Nossos especialistas descobriram um esquema para extrair dados do titular de cartões usando ferramentas da Google.

O web skimming, um método bastante comum de obter dados de cartões de crédito das pessoas que visitam lojas online, é uma prática cibercriminosa consagrada pelo tempo. Recentemente, no entanto, nossos especialistas descobriram uma inovação bastante perigosa que envolve o uso do serviço Google Analytics para extrair dados roubados. Vamos detalhar o porquê do perigo e como lidar com a situação.

Como funciona o Web Skimming?

A ideia básica dos criminosos é a seguinte: injetam um código malicioso em páginas de um site. Como fazem isso é um tópico separado. Às vezes fazem um ataque de força bruta ou roubam a senha de uma conta de administrador; em outros casos exploram vulnerabilidades no sistema de gerenciamento de conteúdo (CMS) ou em plugins de terceiros; ou ainda inserem o código por meio de um formulário codificado incorretamente.

O código injetado registra todas as ações do usuário (incluindo os dados de cartão bancário inseridos) e transfere tudo para seu proprietário. Portanto, na grande maioria dos casos, o web skimming é um tipo de script entre sites.

Por que o Google Analytics

A coleta de dados é apenas metade do trabalho. O malware ainda precisa enviar as informações coletadas ao invasor. No entanto, o web skimming existe há anos, então a indústria desenvolveu mecanismos para combatê-lo. Um método envolve o uso de uma Política de Segurança de Conteúdo (CSP, na sigla em inglês) – um cabeçalho técnico que lista todos os serviços com o direito de coletar informações em um site ou página específico. Se o serviço usado pelos cibercriminosos não estiver listado no cabeçalho, não poderão retirar nenhuma informação que coletarem. À luz de tais medidas de proteção, alguns golpistas tiveram a ideia de usar o Google Analytics.

Hoje, quase todos os sites monitoram cuidadosamente as estatísticas dos visitantes. As lojas online fazem isso naturalmente. A ferramenta mais conveniente para esse fim é o Google Analytics. O serviço permite a coleta de dados com base em muitos parâmetros, e atualmente é utilizada por aproximadamente 29 milhões de sites. A probabilidade de transferência de dados para o GA ser permitida no cabeçalho CSP de uma loja online é extremamente alta.

Para coletar estatísticas do site, tudo que você precisa fazer é configurar os parâmetros de rastreamento e adicionar um código de rastreamento as suas páginas. No que diz respeito ao serviço, se você puder adicionar esse código, será reconhecido como o legítimo proprietário do site. Portanto, o script malicioso dos invasores coleta dados do usuário e, usando o seu próprio código de rastreamento, os envia pelo Protocolo de Avaliação do Google Analytics, diretamente para a conta deles. O Securelist tem mais detalhes sobre o mecanismo de ataque e os indicadores de comprometimento.

O que fazer?

As principais vítimas do esquema são os usuários que inserem os dados do cartão bancário online. Mas, na maioria das vezes, o problema precisa ser resolvido pelo lado das empresas que oferecem suporte a sites com formas de pagamento. Para impedir o vazamento de dados do usuário em seu site, recomendamos:

  • Atualizar regularmente todos os softwares, incluindo aplicativos web (o CMS e todos os plugins);
  • Instalar componentes do CMS apenas de fontes confiáveis;
  • Adotar uma política de acesso ao CSM que restrinja os direitos do usuário ao mínimo necessário e exija o uso de uma senha única e forte;
  • Conduzir auditorias de seguranças periódicas nos sites com formulários de pagamentos.

Quanto aos usuários – as possíveis vítimas diretas desse esquema -, o conselho é simples: use um software de segurança confiável. As soluções Kaspersky para usuários domésticos e de pequenas e médias empresas  detectam scripts maliciosos nos sites de pagamento, graças a nossa tecnologia Safe Money.

Dicas