come hanno rubato le carte di credito usando google
Buongiorno cari lettori, oggi parlere di una problema che ha
crato molti problemi senza che nessuno se ne accorgesse.
Lunedì i ricercatori hanno riferito che gli hacker stavano
sfruttando il servizio Analytics di Google per rubare furtivamente le
informazioni della carta di credito da siti di e-commerce infetti.
Secondo diversi rapporti indipendenti di PerimeterX,
Kaspersky e Sansec, gli attori della minaccia stanno ora iniettando codice di
furto di dati sui siti web compromessi in combinazione con il codice di
tracciamento generato da Google Analytics per il proprio account, permettendo
loro di estrarre le informazioni di pagamento inserite dagli utenti anche in
condizioni in cui le politiche di sicurezza dei contenuti sono applicate per la
massima sicurezza web.
"I malintenzionati hanno iniettato dei codici dannosi
nei siti, che ha raccolto tutti i dati inseriti dagli utenti e poi li ha
inviati tramite Analytics", ha dichiarato Kaspersky in un rapporto
pubblicato ieri. "Di conseguenza, gli aggressori hanno potuto accedere ai
dati rubati nel loro account di Google Analytics".
La società di sicurezza informatica ha detto di aver trovato
circa due dozzine di siti web infetti in Europa e in Nord e Sud America,
specializzati nella vendita di apparecchiature digitali, cosmetici, prodotti
alimentari e pezzi di ricambio.
L'attacco si basa sulla premessa che i siti web di
e-commerce che utilizzano il servizio di analisi web di Google per il
tracciamento dei visitatori hanno inserito i domini associati nella loro
politica di sicurezza dei contenuti (CSP).
Il CSP è una misura di sicurezza aggiuntiva che aiuta a
rilevare e a mitigare le minacce derivanti da vulnerabilità di scripting
cross-site e da altre forme di attacchi con iniezione di codice, compresi
quelli abbracciati da vari gruppi Magecart.
La funzione di sicurezza consente ai webmaster di definire un insieme di domini con cui il browser web dovrebbe essere autorizzato a interagire per un URL specifico, impedendo così l'esecuzione di codice non attendibile.
"La fonte del problema è che il sistema di regole CSP
non è abbastanza granulare", ha detto il VP della ricerca di PerimeterX,
Amir Shaked. "Il riconoscimento e l'arresto della richiesta JavaScript
dannosa di cui sopra richiede soluzioni di visibilità avanzate in grado di
rilevare l'accesso e l'esfiltrazione di dati sensibili dell'utente (in questo
caso, l'indirizzo e-mail e la password dell'utente)".
Per raccogliere i dati utilizzando questa tecnica, tutto ciò
che serve è un piccolo pezzo di codice JavaScript che trasmette i dettagli
raccolti come le credenziali e le informazioni di pagamento attraverso un
evento e altri parametri che Google Analytics utilizza per identificare in modo
univoco le diverse azioni eseguite su un sito.
"Gli amministratori scrivono *.google-analytics.com
nell'intestazione Content-Security-Policy (utilizzata per elencare le risorse
da cui è possibile scaricare il codice di terze parti), permettendo al servizio
di raccogliere i dati. Inoltre, l'attacco può essere implementato senza
scaricare codice da fonti esterne", ha osservato Kaspersky.
Per rendere gli attacchi più nascosti, gli aggressori
verificano anche se la modalità sviluppatore - una funzione spesso utilizzata
per individuare, le richieste di rete e gli errori di sicurezza - è attivata
nel browser del visitatore, e procedono solo se il risultato di tale controllo
è negativo.
In un rapporto separato rilasciato ieri, l'olandese Sansec,
che segue gli attacchi di skimming digitale, ha scoperto una campagna simile
dal 17 marzo che ha consegnato il codice dannoso in diversi negozi utilizzando
un codice JavaScript ospitato su Google Firebase.
Per offuscamento, il malintenzionato dietro l'operazione ha
creato un iFrame temporaneo per caricare un account Google Analytics
controllato dagli aggressori. I dati della carta di credito inseriti nei moduli
di pagamento vengono poi criptati e inviati alla console di analisi da dove
vengono recuperati utilizzando la chiave di crittografia utilizzata in precedenza.
Dato l'uso diffuso di Google Analytics in questi attacchi,
le contromisure come il CSP non funzionano se gli aggressori approfittano di un
dominio già autorizzato per dirottare informazioni sensibili.
"Una possibile soluzione verrebbe da URL adattivi,
aggiungendo l'ID come parte dell'URL o sottodominio per consentire agli
amministratori di impostare regole CSP che limitino l'esfiltrazione dei dati ad
altri conti", ha concluso Shaked.
"Una direzione futura più granulare per rafforzare la
direzione del CSP da considerare come parte dello standard CSP è l'applicazione
del proxy XHR. Questo creerà essenzialmente un WAF lato client che può far
rispettare una politica su dove è consentito trasmettere specifici campi di
dati".
Come cliente, purtroppo, non si può fare molto per
proteggersi dagli attacchi di formjacking. L'attivazione della modalità
sviluppatore nei browser può essere d'aiuto quando si effettuano acquisti
online.
Ma è essenziale fare attenzione a eventuali casi di acquisti
non autorizzati o di furto d'identità, e poi di andare su siti sicuri e
disabilitate sempre ripeto sempre il javascript.
Spero che questo articolo vi sia piaciuto e ci vedremo ad un
prossimo articolo.