استفاده از Google Analytics برای دور زدن امنیت وب و سرقت اطلاعات کارت‌های اعتباری

براساس گزارش جدید منتشرشده توسط محققان امنیتی، نفوذگرها در حال بهره‌برداری از سرویس Google Analytics برای سرقت اطلاعات کارت‌های اعتباری از وب‌سایت‌های آلوده‌ی تجارت الکترونیکی هستند.

برای این منظور، مهاجمان کد سرقت داده‌ به همراه کد رهگیری تولیدشده توسط Google Analytics برای حساب کاربری خود را به وب‌سایت‎های آسیب‌دیده تزریق کرده و به این ترتیب، حتی در شرایطی که سیاست‌های امنیت محتوا برای حداکثر امنیت وب اجرا شود، می‌توانند به اطلاعات پرداختی واردشده توسط کاربران دسترسی پیدا کنند. به گفته‌ی محققان، درحال‌حاضر ۲۴ وب‌سایت آلوده در اروپا و آمریکای شمالی و جنوبی شناسایی شده‌اند که در زمینه‌ی فروش تجهیزات دیجیتال، لوازم آرایشی، محصولات غذایی و قطعات یدکی فعالیت دارند.

این حمله بر این فرض استوار است که وب‌سایت‌های تجارت الکترونیکی از سرویس تجزیه و تحلیل وب گوگل برای ردیابی بازدیدکنندگانی که دامنه‌های مرتبط با سیاست امنیت محتوای آن‌ها را در فهرست سفید خود قرار داده‌اند، استفاده می‌کنند.

سیاست امنیت محتوا، یک اقدام امنیتی اضافی است که به تشخیص و کاهش تهدیدات ناشی از آسیب‌پذیری‌های اسکریپت‌نویسی میان‌وبگاهی و حملات تزریق کد کمک می‌کند. این ویژگی امنیتی به مدیران وب اجازه می‌دهد تا با تعیین مجموعه‌ای از دامنه‌ها كه برای تعامل با یک URL خاص مجاز هستند، از اجرای كد غیرقابل‌اعتماد جلوگیری كنند.

برای دسترسی به داده‌ها با استفاده از این روش، تنها به یک کد جاوااسکریپت نیاز است که جزئیات جمع‌آوری‌شده، مانند گواهی‌نامه‌ها و اطلاعات پرداخت را از طریق یک رویداد و پارامترهای دیگری که Google Analytics از آن‌ها برای شناسایی اقدامات مختلف انجام‌شده در یک وب‌سایت استفاده می‌کند، انتقال می‌دهد.

برای پنهان‌ترکردن حملات، مهاجمان بررسی می‌کنند که آیا حالت توسعه‌دهنده در مرورگر بازدیدکننده فعال است یا خیر، و تنها درصورتی که نتیجه‌ی این بررسی منفی باشد، فعالیت خود را ادامه می‌دهند. حالت توسعه‌دهنده، ویژگی است که اغلب برای شناسایی درخواست‌های شبکه و خطاهای امنیتی استفاده می‌شود.

در گزارشی جداگانه، محققان امنیتی از یک پویش مشابه که با استفاده از یک کد جاوااسکریپت میزبانی‌شده بر روی Firebase گوگل، کد مخرب را به چندین فروشگاه گسترش داده‌اند، خبر دادند. این پویش، از تاریخ ۱۷ مارس مشاهده شده است. مهاجم پشت این عملیات، با ایجاد یک iFrame موقتی برای بارگیری یک حساب Google Analytics تحت کنترل خود، سعی در پنهان‌کردن فعالیت‌های مخرب خود دارد. اطلاعات کارت اعتباری واردشده در فرم‌های پرداخت، سپس رمزنگاری شده و به کنسول تحلیلی ارسال می‌شود.

با توجه به استفاده‌ی گسترده از‌ Google Analytics در این حملات، در صورت استفاده‌ی مهاجمان از یک دامنه‌ی مجاز برای ربودن اطلاعات حساس، اقدامات متقابل مانند سیاست امنیت محتوا دیگر کارایی نخواهند داشت.

به گفته‌ی محققان، یک راه‎حل احتمالی برای جلوگیری از این حملات، URLهای تطبیقی ​​و اضافه‌کردن شناسه به‌عنوان بخشی از URL یا زیردامنه است. این موضوع به مدیرها اجازه می‌دهد تا با تنظیم مقررات سیاست امنیت محتوا، ارسال داده‌ها به حساب‌های دیگر را محدود کنند. در نهایت، محققان اعلام کردند، روشن‌کردن حالت توسعه‌دهنده در مرورگرها می‌تواند به مشتریان در محافظت از خود هنگام خرید آنلاین کمک کند.

منبع

Related posts

Leave a Comment

1 × 2 =