Các nhà nghiên cứu đã báo cáo vào hôm thứ Hai rằng các tin tặc hiện đang khai thác dịch vụ Google Analytics để lén lút lấy thông tin thẻ tín dụng từ các trang web thương mại điện tử bị nhiễm bệnh.
Theo một số báo cáo độc lập từ Chu viX, Kasperskyvà Sansec, các tác nhân đe dọa hiện đang tiêm mã đánh cắp dữ liệu trên các trang web bị xâm nhập kết hợp với mã theo dõi do Google Analytics tạo cho tài khoản của họ, cho phép họ thực hiện thông tin thanh toán được nhập bởi người dùng ngay cả trong điều kiện chính sách bảo mật nội dung được thực thi để bảo mật web tối đa.
“Những kẻ tấn công đã tiêm mã độc vào các trang web, nơi thu thập tất cả dữ liệu do người dùng nhập vào và sau đó gửi nó qua Analytics”, Kaspersky cho biết trong một báo cáo được công bố hôm qua. “Do đó, những kẻ tấn công có thể truy cập dữ liệu bị đánh cắp trong tài khoản Google Analytics của họ.”
Công ty an ninh mạng cho biết họ đã tìm thấy khoảng hai chục trang web bị nhiễm bệnh trên khắp châu Âu và Bắc và Nam Mỹ chuyên bán thiết bị kỹ thuật số, mỹ phẩm, thực phẩm và phụ tùng.
Bỏ qua chính sách bảo mật nội dung
Cuộc tấn công dựa trên tiền đề rằng các trang web thương mại điện tử sử dụng dịch vụ phân tích trang web của Google để theo dõi khách truy cập đã đưa vào danh sách trắng các tên miền liên quan trong chính sách bảo mật nội dung của họ (CSP).
CSP là một thêm biện pháp bảo mật giúp phát hiện và giảm thiểu các mối đe dọa xuất phát từ kịch bản chéo trang lỗ hổng và các hình thức tấn công tiêm mã khác, bao gồm cả các cuộc tấn công khác nhau Nhóm Magecart.
Tính năng bảo mật cho phép quản trị viên web xác định một tập hợp các tên miền mà trình duyệt web sẽ được phép tương tác với một URL cụ thể, do đó ngăn chặn việc thực thi mã không tin cậy.
“Nguồn gốc của vấn đề là hệ thống quy tắc CSP không đủ chi tiết”, Phó chủ tịch nghiên cứu của PerimX Amir Shakes nói. “Nhận biết và dừng yêu cầu JavaScript độc hại ở trên yêu cầu các giải pháp hiển thị nâng cao có thể phát hiện truy cập và lọc dữ liệu nhạy cảm của người dùng (trong trường hợp này là địa chỉ email và mật khẩu của người dùng).”
Để thu thập dữ liệu bằng kỹ thuật này, tất cả những gì cần thiết là một đoạn mã JavaScript nhỏ truyền các chi tiết được thu thập như thông tin xác thực và thông tin thanh toán thông qua một sự kiện và các tham số khác mà Google Analytics sử dụng để xác định duy nhất các hành động khác nhau được thực hiện trên một trang web.
“Quản trị viên viết * .google-analytics.com vào tiêu đề Chính sách bảo mật nội dung (được sử dụng để liệt kê tài nguyên mà mã bên thứ ba có thể được tải xuống), cho phép dịch vụ thu thập dữ liệu. Hơn nữa, cuộc tấn công có thể được thực hiện mà không cần tải mã từ các nguồn bên ngoài “, Kaspersky lưu ý.
Để làm cho các cuộc tấn công trở nên bí mật hơn, những kẻ tấn công cũng xác định xem chế độ nhà phát triển – một tính năng thường được sử dụng để phát hiện các yêu cầu mạng và lỗi bảo mật, trong số những thứ khác – được bật trong trình duyệt của khách truy cập và chỉ tiến hành nếu kết quả của kiểm tra đó là âm tính .
Chiến dịch “Tiểu thuyết” kể từ tháng 3
Trong một báo cáo riêng được phát hành ngày hôm qua, Sansec có trụ sở ở Hà Lan, theo dõi các cuộc tấn công lướt qua kỹ thuật số, đã phát hiện ra một chiến dịch tương tự kể từ ngày 17 tháng 3, đã gửi mã độc trên một số cửa hàng bằng cách sử dụng mã JavaScript được lưu trữ trên Firebase của Google.
Để che giấu, tác nhân đứng sau hoạt động đã tạo một iFrame tạm thời để tải tài khoản Google Analytics do kẻ tấn công kiểm soát. Dữ liệu thẻ tín dụng được nhập trên các hình thức thanh toán sau đó được mã hóa và gửi đến bảng điều khiển phân tích từ nơi được khôi phục bằng khóa mã hóa được sử dụng trước đó.
Do việc sử dụng rộng rãi Google Analytics trong các cuộc tấn công này, các biện pháp đối phó như CSP sẽ không hoạt động nếu kẻ tấn công lợi dụng tên miền đã được cho phép để đánh cắp thông tin nhạy cảm.
“Một giải pháp khả thi sẽ đến từ các URL thích ứng, thêm ID làm một phần của URL hoặc tên miền phụ để cho phép quản trị viên đặt quy tắc CSP hạn chế việc lọc dữ liệu sang các tài khoản khác”, Shakes kết luận.
“Một hướng tương lai chi tiết hơn để tăng cường hướng CSP để xem xét như là một phần của tiêu chuẩn CSP là Proxy XHR thực thi. Điều này về cơ bản sẽ tạo ra một phía khách hàng WAF có thể thực thi chính sách về trường dữ liệu cụ thể ở đâu[s] được phép truyền đi. “
Là một khách hàng, thật không may, bạn không thể làm gì nhiều để bảo vệ bản thân khỏi các cuộc tấn công hình thành. Bật chế độ nhà phát triển trong trình duyệt có thể giúp ích khi mua hàng trực tuyến.
Nhưng điều cần thiết là bạn phải đề phòng mọi trường hợp mua hàng trái phép hoặc trộm danh tính.
