Перейти к содержанию

Google Analytics как канал эксфильтрации данных


Рекомендуемые сообщения

Злоумышленники часто пытаются добраться до платежных данных пользователей при помощи веб-скимминга. Это распространенный метод охоты на посетителей онлайн-магазинов. Однако недавно наши эксперты обнаружили довольно опасную инновацию — для эксфильтрации похищенных данных злоумышленники использовали протоколы сервиса Google Analytics. Объясняем, чем это опасно и как с этим бороться.

Как работает веб-скимминг

Суть атаки сводится к тому, что злоумышленники внедряют в страницы чужого сайта вредоносный код. Как они это делают — отдельный вопрос. Иногда подбирают (или воруют) пароли к учетной записи администратора, иногда пользуются уязвимостями в системе управления контентом (CMS) или в одном из ее сторонних плагинов, иногда инжектируют через некорректно написанную форму ввода.

Внедренный код сохраняет все действия пользователя (включая, к примеру, вводимые им данные банковских карт) и передает собранную информацию хозяину. Так что в подавляющем большинстве случаев веб-скимминг — это один из видов межсайтового скриптинга.

Зачем злоумышленникам Google Analytics

Собрать данные в этой схеме — полдела. Их еще нужно отправить атакующему. А поскольку веб-скиммеры известны уже не первый год, с ними научились бороться. Один из механизмов борьбы называется Content Security Policy (CSP). Он реализован в виде технического хедера, в котором перечислены сервисы, имеющие право на сбор информации на конкретном сайте или странице. Если адреса злоумышленников там нет, то вывести собранную информацию не получится. Вот тут-то злоумышленникам и пришла в голову идея пользоваться сервисом Google Analytics.

Практически все сайты тщательно следят за статистикой посещения. Интернет-магазины делают это с вероятностью, близкой к стопроцентной. Сервис Google Analytics позволяет собирать множество параметров и сейчас используется примерно на 29 миллионах сайтов. Вероятность, что передача данных Google Analytics будет разрешена в CSP-заголовке интернет-магазина, крайне высока.

Все, что нужно для сбора статистики на сайте — настроить параметры отслеживания и вставить на страницы своего ресурса специальный код. С точки зрения сервиса, если вы можете вставить этот код на сайт — значит, являетесь легитимным представителем владельца этого ресурса. Вредоносный скрипт собирал данные посетителей, а затем, используя код отслеживания, которым его снабдил злоумышленник, отправлял их с помощью Google Analytics Measurement Protocol прямиком в личный кабинет атакующего. Подробности о механизме атаки и индикаторах компрометации ищите в блогпосте на сайте Securelist.

Что делать?

Основными жертвами этой схемы будут пользователи, которым приходится вводить платежные данные на сайтах. Но решать эту проблему нужно на стороне компаний, поддерживающих веб-страницы с платежными формами. Вот несколько советов, которые помогут исключить возможность утечки данных ваших пользователей через сайт:

  • Регулярно обновляйте используемое ПО, не забывая про веб (CMS и все ее плагины)
  • Не устанавливайте компоненты CMS из непроверенных источников.
  • Проводите строгую политику доступа к CMS: ограничивайте права пользователей до минимально необходимых и настаивайте на использовании надежных и уникальных паролей.
  • Периодически проводите аудит безопасности сайта с платежной формой.

Пользователям можно посоветовать лишь одно: использовать надежное защитное ПО. Наши решения и для домашних пользователей, и для малого бизнеса выявляют вредоносные скрипты на платежных сайтах благодаря технологии «безопасных платежей».

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Elly
      От Elly
      ЧТО ПРОИСХОДИТ?
      Друзья, мы создали свой уютный уголок на просторах YouTube!
      Нами организован канал, в развитии которого могут принять все желающие. Данный канал послужит не только агрегатором видеоконтента, создаваемого на основе наших общих событий, но и площадкой для привлечения новых участников клуба. Площадка также будет местом, где можно прокачать свои навыки в создании видео/аудио контента, получая фидбек от общей аудитории, и, конечно же, дополнительной возможностью поучаствовать в продвижении нашего клуба, получая приятные бонусы!
       
      КРУТО! ЧТО НУЖНО ДЕЛАТЬ?
      Нет времени объяснять! Присылай нам своё (авторское) видео на одну из предложенных тем:
      - как ты побывал на встречах клуба (дни рождения, экскурсии в ЛК, локальные встречи и т.д.);
      - обзоры на товары из лаб-шопа и магазина клуба;
      - обзоры и гайды по установке/настройке продуктов «Лаборатории Касперского»;
      - советы по устранению неисправностей и лечению гаджетов от всяческой кибер-нечисти;
      - различные полезные советы и воспитательные видео для детей и взрослых, касающиеся цифрового пространства;
      - любое творчество, вписывающееся в формат деятельности клуба «Лаборатории Касперского».
       
      ВСЁ ТАК ПРОСТО? СЕЙЧАС ПРИШЛЮ 100500 ГБ ВИДОСИКОВ…
      Нам нужен твой креатив, твоё согласие на использование и публикацию ролика, а если есть соавторы, музыканты или иные лица, причастные к созданию твоего творения, то и их разрешение.
      И обязательно нужно проверить видео на соответствие по следующим пунктам:
      1) Видео не содержит материалы, нарушающие законы РФ, США и страны вашего проживания, не противоречит правилам клуба «Лаборатории Касперского», правилам сообщества YouTube и не нарушает чьих-либо авторских прав;
      2) Качество изображения и звук в ролике позволяют легко воспринимать его содержание.
       
      Автор ролика и лица, причастные к созданию видео, при желании, могут быть указаны в разделе описания видео, либо в самом ролике.
      Допускается размещение ссылок на автора(-ов) в социальных сетях в разделе описания видео.
       
      ЭТО ВСЁ?
      Нет, у нас есть еще предложение!
      Если ты умеешь и хочешь работать в команде, желаешь помочь процветанию нашего клуба и обладаешь каким-нибудь навыком из следующего списка:
      - рисуешь (вектор/растр);
       - анимируешь (2D/3D; Flash; Moho; Toon Boom Harmony);
      - любишь и умеешь снимать видео/фото;
      - умеешь монтировать и знаком с продуктами Adobe After Effects или Sony Vegas;
      - пишешь музыку или играешь на музыкальном инструменте и имеешь возможность записать звук;
      - обладаешь хорошей дикцией и приятным голосом и можешь это записать.
       
      То предлагаем тебе вступить в творческую группу официального канала клуба «Лаборатории Касперского»! Напиши в личные сообщения Elly, чем конкретно ты готов и хочешь заниматься во благо клуба и если уже есть что показать, то обязательно добавь ссылочку на своё портфолио (это не обязательно).
      Планируется много интересной работы, где каждый сможет проявить и прокачать свой талант и, конечно же, получить разные приятные плюшки
      Покреативим по полной!
    • Краб
      От Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • sergei5
      От sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • Bercolitt
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Сергей рнд
      От Сергей рнд
      Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,
      максим.rar
×
×
  • Создать...