Сервис Google Analytics оказался в центре скандала. Экспертами по информационной безопасности было выявлено, что сервис используется киберпреступниками для похищения данных банковских карт с сайтов электронной коммерции, которые были скомпрометированы ранее.
22 июня ИБ-специалисты обнаружили, что киберпреступники во всю пользуются сервисом Google Analytics, чтобы скрытно красть данные кредитных карт с зараженных вредоносным ПО порталов электронной коммерции.
Соответствующие отчеты о подобной киберпреступной деятельности были опубликованы сразу несколькими крупными компаниями (Kaspersky, Sansec, PerimetrX). По результатам исследований стала ясна схема работы киберпреступников: они интегрируют код кражи данных кредитных карт и код отслеживания, на скомпрометированные сайты. Код создается в учетной записи киберпреступника на Google Analytics, за счет чего у хакера появляется возможность отфильтровать полученную финансовую информацию, которая была введена жертвой на скомпрометированном сайте. Причем данные киберпреступник получает даже в том случае, если политика безопасности контента применяется на портале в максимальном объеме.
«Лаборатория Касперского» в своем отчете рассказала о следующем: «Киберпреступники внедряют вредоносный код в сайты, на которых собирается пользовательская платежная информация, после чего отправляют скомпрометированные данные в Google Analytics и фильтруют их там. В итоге в своем аккаунту Google Analytics они имеют полный доступ к украденным данным».
Кибератака такого типа базируется на предположении, что сайт, занимающийся электронной коммерцией и использующий в работе сервис Google Analytics для мониторинга посетителей, включил соответствующие домены Google в собственную политику безопасности контента (CSP).
Представители компании PerimetrX следующим образом прокомментировали обнаруженные атаки: «Основная проблема состоит в том, что CSP детализирована в недостаточной степени. Чтобы распознать и остановить вредоносный запрос, необходимы специальные решения, которые смогут обнаружить проникновение и фильтрацию конфиденциальных данных пользователей».
В отчете «Лаборатории Касперского» также сказано следующее: «Администраторы сайтов вносят адрес ***.google-analytics.com в заголовок CSP (применяется для перечисления сервисов, с которых можно загружать сторонний код), поэтому служба собирает конфиденциальные данные без ограничений. В этом случае открывается широкий простор для действий злоумышленников. В ряде случаев успешная кибератака с кражей данных кредитных карт проводится и без использования процедуры внедрения вредоносного кода».