Google Analytics как канал эксфильтрации данных

Наши эксперты обнаружили охоту за платежными данными пользователей с применением инструментов Google.

Злоумышленники часто пытаются добраться до платежных данных пользователей при помощи веб-скимминга. Это распространенный метод охоты на посетителей онлайн-магазинов. Однако недавно наши эксперты обнаружили довольно опасную инновацию — для эксфильтрации похищенных данных злоумышленники использовали протоколы сервиса Google Analytics. Объясняем, чем это опасно и как с этим бороться.

Как работает веб-скимминг

Суть атаки сводится к тому, что злоумышленники внедряют в страницы чужого сайта вредоносный код. Как они это делают — отдельный вопрос. Иногда подбирают (или воруют) пароли к учетной записи администратора, иногда пользуются уязвимостями в системе управления контентом (CMS) или в одном из ее сторонних плагинов, иногда инжектируют через некорректно написанную форму ввода.

Внедренный код сохраняет все действия пользователя (включая, к примеру, вводимые им данные банковских карт) и передает собранную информацию хозяину. Так что в подавляющем большинстве случаев веб-скимминг — это один из видов межсайтового скриптинга.

Зачем злоумышленникам Google Analytics

Собрать данные в этой схеме — полдела. Их еще нужно отправить атакующему. А поскольку веб-скиммеры известны уже не первый год, с ними научились бороться. Один из механизмов борьбы называется Content Security Policy (CSP). Он реализован в виде технического хедера, в котором перечислены сервисы, имеющие право на сбор информации на конкретном сайте или странице. Если адреса злоумышленников там нет, то вывести собранную информацию не получится. Вот тут-то злоумышленникам и пришла в голову идея пользоваться сервисом Google Analytics.

Практически все сайты тщательно следят за статистикой посещения. Интернет-магазины делают это с вероятностью, близкой к стопроцентной. Сервис Google Analytics позволяет собирать множество параметров и сейчас используется примерно на 29 миллионах сайтов. Вероятность, что передача данных Google Analytics будет разрешена в CSP-заголовке интернет-магазина, крайне высока.

Все, что нужно для сбора статистики на сайте — настроить параметры отслеживания и вставить на страницы своего ресурса специальный код. С точки зрения сервиса, если вы можете вставить этот код на сайт — значит, являетесь легитимным представителем владельца этого ресурса. Вредоносный скрипт собирал данные посетителей, а затем, используя код отслеживания, которым его снабдил злоумышленник, отправлял их с помощью Google Analytics Measurement Protocol прямиком в личный кабинет атакующего. Подробности о механизме атаки и индикаторах компрометации ищите в блогпосте на сайте Securelist.

Что делать?

Основными жертвами этой схемы будут пользователи, которым приходится вводить платежные данные на сайтах. Но решать эту проблему нужно на стороне компаний, поддерживающих веб-страницы с платежными формами. Вот несколько советов, которые помогут исключить возможность утечки данных ваших пользователей через сайт:

  • Регулярно обновляйте используемое ПО, не забывая про веб (CMS и все ее плагины)
  • Не устанавливайте компоненты CMS из непроверенных источников.
  • Проводите строгую политику доступа к CMS: ограничивайте права пользователей до минимально необходимых и настаивайте на использовании надежных и уникальных паролей.
  • Периодически проводите аудит безопасности сайта с платежной формой.

Пользователям можно посоветовать лишь одно: использовать надежное защитное ПО. Наши решения и для домашних пользователей, и для малого бизнеса выявляют вредоносные скрипты на платежных сайтах благодаря технологии «безопасных платежей».

Советы