{"id":15655,"date":"2020-06-29T17:18:52","date_gmt":"2020-06-29T20:18:52","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15655"},"modified":"2020-11-27T13:49:55","modified_gmt":"2020-11-27T16:49:55","slug":"web-skimming-with-ga","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/web-skimming-with-ga\/15655\/","title":{"rendered":"Google Analytics \u00e9 usado como um canal de exfiltra\u00e7\u00e3o de dados"},"content":{"rendered":"

O web skimming, um m\u00e9todo bastante comum de obter dados de cart\u00f5es de cr\u00e9dito das pessoas que visitam lojas online, \u00e9 uma pr\u00e1tica cibercriminosa consagrada pelo tempo. Recentemente, no entanto, nossos especialistas descobriram uma inova\u00e7\u00e3o bastante perigosa que envolve o uso do servi\u00e7o Google Analytics para extrair dados roubados. Vamos detalhar o porqu\u00ea do perigo e como lidar com a situa\u00e7\u00e3o.<\/p>\n

Como funciona o Web Skimming?<\/h2>\n

A ideia b\u00e1sica dos criminosos \u00e9 a seguinte: injetam um c\u00f3digo malicioso em p\u00e1ginas de um site. Como fazem isso \u00e9 um t\u00f3pico separado. \u00c0s vezes fazem um ataque de for\u00e7a bruta ou roubam a senha de uma conta de administrador; em outros casos exploram vulnerabilidades no sistema de gerenciamento de conte\u00fado (CMS) ou em plugins de terceiros; ou ainda inserem o c\u00f3digo por meio de um formul\u00e1rio codificado incorretamente.<\/p>\n

O c\u00f3digo injetado registra todas as a\u00e7\u00f5es do usu\u00e1rio (incluindo os dados de cart\u00e3o banc\u00e1rio inseridos) e transfere tudo para seu propriet\u00e1rio. Portanto, na grande maioria dos casos, o web skimming \u00e9 um tipo de script entre sites<\/a>.<\/p>\n

Por que o Google Analytics<\/h2>\n

A coleta de dados \u00e9 apenas metade do trabalho. O malware ainda precisa enviar as informa\u00e7\u00f5es coletadas ao invasor. No entanto, o web skimming existe h\u00e1 anos, ent\u00e3o a ind\u00fastria desenvolveu mecanismos para combat\u00ea-lo. Um m\u00e9todo envolve o uso de uma Pol\u00edtica de Seguran\u00e7a de Conte\u00fado (CSP, na sigla em ingl\u00eas) \u2013 um cabe\u00e7alho t\u00e9cnico que lista todos os servi\u00e7os com o direito de coletar informa\u00e7\u00f5es em um site ou p\u00e1gina espec\u00edfico. Se o servi\u00e7o usado pelos cibercriminosos n\u00e3o estiver listado no cabe\u00e7alho, n\u00e3o poder\u00e3o retirar nenhuma informa\u00e7\u00e3o que coletarem. \u00c0 luz de tais medidas de prote\u00e7\u00e3o, alguns golpistas tiveram a ideia de usar o Google Analytics.<\/p>\n

Hoje, quase todos os sites monitoram cuidadosamente as estat\u00edsticas dos visitantes. As lojas online fazem isso naturalmente. A ferramenta mais conveniente para esse fim \u00e9 o Google Analytics. O servi\u00e7o permite a coleta de dados com base em muitos par\u00e2metros, e atualmente \u00e9 utilizada por aproximadamente 29 milh\u00f5es<\/a> de sites. A probabilidade de transfer\u00eancia de dados para o GA ser permitida no cabe\u00e7alho CSP de uma loja online \u00e9 extremamente alta.<\/p>\n

Para coletar estat\u00edsticas do site, tudo que voc\u00ea precisa fazer \u00e9 configurar os par\u00e2metros de rastreamento e adicionar um c\u00f3digo de rastreamento as suas p\u00e1ginas. No que diz respeito ao servi\u00e7o, se voc\u00ea puder adicionar esse c\u00f3digo, ser\u00e1 reconhecido como o leg\u00edtimo propriet\u00e1rio do site. Portanto, o script malicioso dos invasores coleta dados do usu\u00e1rio e, usando o seu pr\u00f3prio c\u00f3digo de rastreamento, os envia pelo Protocolo de Avalia\u00e7\u00e3o do Google Analytics, diretamente para a conta deles. O Securelist<\/a> tem mais detalhes sobre o mecanismo de ataque e os indicadores de comprometimento.<\/p>\n

O que fazer?<\/h2>\n

As principais v\u00edtimas do esquema s\u00e3o os usu\u00e1rios que inserem os dados do cart\u00e3o banc\u00e1rio online. Mas, na maioria das vezes, o problema precisa ser resolvido pelo lado das empresas que oferecem suporte a sites com formas de pagamento. Para impedir o vazamento de dados do usu\u00e1rio em seu site, recomendamos:<\/p>\n