come hanno rubato le carte di credito usando google

Buongiorno cari lettori, oggi parlere di una problema che ha crato molti problemi senza che nessuno se ne accorgesse.

 

Lunedì i ricercatori hanno riferito che gli hacker stavano sfruttando il servizio Analytics di Google per rubare furtivamente le informazioni della carta di credito da siti di e-commerce infetti.

Secondo diversi rapporti indipendenti di PerimeterX, Kaspersky e Sansec, gli attori della minaccia stanno ora iniettando codice di furto di dati sui siti web compromessi in combinazione con il codice di tracciamento generato da Google Analytics per il proprio account, permettendo loro di estrarre le informazioni di pagamento inserite dagli utenti anche in condizioni in cui le politiche di sicurezza dei contenuti sono applicate per la massima sicurezza web.

"I malintenzionati hanno iniettato dei codici dannosi nei siti, che ha raccolto tutti i dati inseriti dagli utenti e poi li ha inviati tramite Analytics", ha dichiarato Kaspersky in un rapporto pubblicato ieri. "Di conseguenza, gli aggressori hanno potuto accedere ai dati rubati nel loro account di Google Analytics".

La società di sicurezza informatica ha detto di aver trovato circa due dozzine di siti web infetti in Europa e in Nord e Sud America, specializzati nella vendita di apparecchiature digitali, cosmetici, prodotti alimentari e pezzi di ricambio.

L'attacco si basa sulla premessa che i siti web di e-commerce che utilizzano il servizio di analisi web di Google per il tracciamento dei visitatori hanno inserito i domini associati nella loro politica di sicurezza dei contenuti (CSP).

Il CSP è una misura di sicurezza aggiuntiva che aiuta a rilevare e a mitigare le minacce derivanti da vulnerabilità di scripting cross-site e da altre forme di attacchi con iniezione di codice, compresi quelli abbracciati da vari gruppi Magecart.

La funzione di sicurezza consente ai webmaster di definire un insieme di domini con cui il browser web dovrebbe essere autorizzato a interagire per un URL specifico, impedendo così l'esecuzione di codice non attendibile.

"La fonte del problema è che il sistema di regole CSP non è abbastanza granulare", ha detto il VP della ricerca di PerimeterX, Amir Shaked. "Il riconoscimento e l'arresto della richiesta JavaScript dannosa di cui sopra richiede soluzioni di visibilità avanzate in grado di rilevare l'accesso e l'esfiltrazione di dati sensibili dell'utente (in questo caso, l'indirizzo e-mail e la password dell'utente)".

Per raccogliere i dati utilizzando questa tecnica, tutto ciò che serve è un piccolo pezzo di codice JavaScript che trasmette i dettagli raccolti come le credenziali e le informazioni di pagamento attraverso un evento e altri parametri che Google Analytics utilizza per identificare in modo univoco le diverse azioni eseguite su un sito.

"Gli amministratori scrivono *.google-analytics.com nell'intestazione Content-Security-Policy (utilizzata per elencare le risorse da cui è possibile scaricare il codice di terze parti), permettendo al servizio di raccogliere i dati. Inoltre, l'attacco può essere implementato senza scaricare codice da fonti esterne", ha osservato Kaspersky.

Per rendere gli attacchi più nascosti, gli aggressori verificano anche se la modalità sviluppatore - una funzione spesso utilizzata per individuare, le richieste di rete e gli errori di sicurezza - è attivata nel browser del visitatore, e procedono solo se il risultato di tale controllo è negativo.

In un rapporto separato rilasciato ieri, l'olandese Sansec, che segue gli attacchi di skimming digitale, ha scoperto una campagna simile dal 17 marzo che ha consegnato il codice dannoso in diversi negozi utilizzando un codice JavaScript ospitato su Google Firebase.

Per offuscamento, il malintenzionato dietro l'operazione ha creato un iFrame temporaneo per caricare un account Google Analytics controllato dagli aggressori. I dati della carta di credito inseriti nei moduli di pagamento vengono poi criptati e inviati alla console di analisi da dove vengono recuperati utilizzando la chiave di crittografia utilizzata in precedenza.

Dato l'uso diffuso di Google Analytics in questi attacchi, le contromisure come il CSP non funzionano se gli aggressori approfittano di un dominio già autorizzato per dirottare informazioni sensibili.

"Una possibile soluzione verrebbe da URL adattivi, aggiungendo l'ID come parte dell'URL o sottodominio per consentire agli amministratori di impostare regole CSP che limitino l'esfiltrazione dei dati ad altri conti", ha concluso Shaked.

"Una direzione futura più granulare per rafforzare la direzione del CSP da considerare come parte dello standard CSP è l'applicazione del proxy XHR. Questo creerà essenzialmente un WAF lato client che può far rispettare una politica su dove è consentito trasmettere specifici campi di dati".

Come cliente, purtroppo, non si può fare molto per proteggersi dagli attacchi di formjacking. L'attivazione della modalità sviluppatore nei browser può essere d'aiuto quando si effettuano acquisti online.

Ma è essenziale fare attenzione a eventuali casi di acquisti non autorizzati o di furto d'identità, e poi di andare su siti sicuri e disabilitate sempre ripeto sempre il javascript.

 

Spero che questo articolo vi sia piaciuto e ci vedremo ad un prossimo articolo.