Хакеры используют аналитику Google для обхода CSP и кражи данных с кредитных карт

В понедельник стало известнно, что хакеры теперь используют сервис Google Analytics для кражи информации о кредитных картах с сайтов электронной коммерции. Как же такое наслучалось?

Сразу несколько крупных компаний заявило о том, что данные пользователей в опасности: PerimeterX, Kaspersky и Sansec. В отчетах сообщается, что мошенники внедряют код, ворующий кредитки, на скомпрометированных веб-сайтах в сочетании с кодом Google Analytics, причем используя их собственную учетную запись, что позволяет им отфильтровывать платежную информацию, введенную пользователями, даже при условиях условия, в которых применяются политика безопасности контента.

«Злоумышленники внедрили вредоносный код в сайты, которые собирали все данные, введенные пользователями, а затем отправляли их через Analytics», – заявили в лаборатории Касперского. «В результате злоумышленники могут получить доступ к украденным данным через аккаунты Google Analytics».

В лаборатории Касперского уже сообщеили о том, что нашли несколько десятков сайтов, преимущественно в европе, кравших данные о пластиковых картах таким образом.

Обход CSP

Атака основана на том, что веб-сайты электронной коммерции, использующие службу веб-аналитики Google для отслеживания посетителей, включили соответствующие домены в свою политику безопасности контента (CSP).

CSP – это мера безопасности, помогающая обнаруживать и устранять угрозы, возникающие из-за уязвимостей межсайтового скриптинга и других форм атак с внедрением кода.

CSP позволяет веб-мастерам определять набор доменов, с которыми веб-браузер может взаимодействовать, тем самым предотвращая выполнение ненадежного кода.

«Источником проблемы является то, что система правил CSP недостаточно детализирована», – сказал вице-президент PerimeterX по исследованиям Амир Шакед. «Для распознавания и остановки вышеуказанного вредоносного запроса JavaScript требуются расширенные решения для обеспечения видимости, которые могут обнаруживать доступ и фильтрацию конфиденциальных пользовательских данных».

Для сбора данных этим методом достаточно всего небольшого фрагмента кода JavaScript, который передает собранные данные, такие как учетные данные пользвателя и информацию о совершонном платеже, через евенты и другие параметры, которые Google Analytics использует для уникальной идентификации различных действий, выполняемых на сайте.

Очень простая и эффективная атака. Кто там уже полез ковырять свой стилер?