Google Analytics как канал эксфильтрации данных

Наши эксперты обнаружили охоту за платежными данными пользователей с применением инструментов Google.

Злоумышленники часто пытаются добраться до платежных данных пользователей при помощи веб-скимминга. Это распространенный метод охоты на посетителей онлайн-магазинов. Однако недавно наши эксперты обнаружили довольно опасную инновацию — для эксфильтрации похищенных данных злоумышленники использовали протоколы сервиса Google Analytics. Объясняем, чем это опасно и как с этим бороться.

Как работает веб-скимминг

Суть атаки сводится к тому, что злоумышленники внедряют в страницы чужого сайта вредоносный код. Как они это делают — отдельный вопрос. Иногда подбирают (или воруют) пароли к учетной записи администратора, иногда пользуются уязвимостями в системе управления контентом (CMS) или в одном из ее сторонних плагинов, иногда инжектируют через некорректно написанную форму ввода.

Внедренный код сохраняет все действия пользователя (включая, к примеру, вводимые им данные банковских карт) и передает собранную информацию хозяину. Так что в подавляющем большинстве случаев веб-скимминг — это один из видов межсайтового скриптинга.

Зачем злоумышленникам Google Analytics

Собрать данные в этой схеме — полдела. Их еще нужно отправить атакующему. А поскольку веб-скиммеры известны уже не первый год, с ними научились бороться. Один из механизмов борьбы называется Content Security Policy (CSP). Он реализован в виде технического хедера, в котором перечислены сервисы, имеющие право на сбор информации на конкретном сайте или странице. Если адреса злоумышленников там нет, то вывести собранную информацию не получится. Вот тут-то злоумышленникам и пришла в голову идея пользоваться сервисом Google Analytics.

Практически все сайты тщательно следят за статистикой посещения. Интернет-магазины делают это с вероятностью, близкой к стопроцентной. Сервис Google Analytics позволяет собирать множество параметров и сейчас используется примерно на 29 миллионах сайтов. Вероятность, что передача данных Google Analytics будет разрешена в CSP-заголовке интернет-магазина, крайне высока.

Все, что нужно для сбора статистики на сайте — настроить параметры отслеживания и вставить на страницы своего ресурса специальный код. С точки зрения сервиса, если вы можете вставить этот код на сайт — значит, являетесь легитимным представителем владельца этого ресурса. Вредоносный скрипт собирал данные посетителей, а затем, используя код отслеживания, которым его снабдил злоумышленник, отправлял их с помощью Google Analytics Measurement Protocol прямиком в личный кабинет атакующего. Подробности о механизме атаки и индикаторах компрометации ищите в блогпосте на сайте Securelist.

Что делать?

Основными жертвами этой схемы будут пользователи, которым приходится вводить платежные данные на сайтах. Но решать эту проблему нужно на стороне компаний, поддерживающих веб-страницы с платежными формами. Вот несколько советов, которые помогут исключить возможность утечки данных ваших пользователей через сайт:

  • Регулярно обновляйте используемое ПО, не забывая про веб (CMS и все ее плагины)
  • Не устанавливайте компоненты CMS из непроверенных источников.
  • Проводите строгую политику доступа к CMS: ограничивайте права пользователей до минимально необходимых и настаивайте на использовании надежных и уникальных паролей.
  • Периодически проводите аудит безопасности сайта с платежной формой.

Пользователям можно посоветовать лишь одно: использовать надежное защитное ПО. Наши решения и для домашних пользователей, и для малого бизнеса выявляют вредоносные скрипты на платежных сайтах благодаря технологии «безопасных платежей».

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.