براساس گزارش جدید منتشرشده توسط محققان امنیتی، نفوذگرها در حال بهرهبرداری از سرویس Google Analytics برای سرقت اطلاعات کارتهای اعتباری از وبسایتهای آلودهی تجارت الکترونیکی هستند.
برای این منظور، مهاجمان کد سرقت داده به همراه کد رهگیری تولیدشده توسط Google Analytics برای حساب کاربری خود را به وبسایتهای آسیبدیده تزریق کرده و به این ترتیب، حتی در شرایطی که سیاستهای امنیت محتوا برای حداکثر امنیت وب اجرا شود، میتوانند به اطلاعات پرداختی واردشده توسط کاربران دسترسی پیدا کنند. به گفتهی محققان، درحالحاضر ۲۴ وبسایت آلوده در اروپا و آمریکای شمالی و جنوبی شناسایی شدهاند که در زمینهی فروش تجهیزات دیجیتال، لوازم آرایشی، محصولات غذایی و قطعات یدکی فعالیت دارند.
این حمله بر این فرض استوار است که وبسایتهای تجارت الکترونیکی از سرویس تجزیه و تحلیل وب گوگل برای ردیابی بازدیدکنندگانی که دامنههای مرتبط با سیاست امنیت محتوای آنها را در فهرست سفید خود قرار دادهاند، استفاده میکنند.
سیاست امنیت محتوا، یک اقدام امنیتی اضافی است که به تشخیص و کاهش تهدیدات ناشی از آسیبپذیریهای اسکریپتنویسی میانوبگاهی و حملات تزریق کد کمک میکند. این ویژگی امنیتی به مدیران وب اجازه میدهد تا با تعیین مجموعهای از دامنهها كه برای تعامل با یک URL خاص مجاز هستند، از اجرای كد غیرقابلاعتماد جلوگیری كنند.
برای دسترسی به دادهها با استفاده از این روش، تنها به یک کد جاوااسکریپت نیاز است که جزئیات جمعآوریشده، مانند گواهینامهها و اطلاعات پرداخت را از طریق یک رویداد و پارامترهای دیگری که Google Analytics از آنها برای شناسایی اقدامات مختلف انجامشده در یک وبسایت استفاده میکند، انتقال میدهد.
برای پنهانترکردن حملات، مهاجمان بررسی میکنند که آیا حالت توسعهدهنده در مرورگر بازدیدکننده فعال است یا خیر، و تنها درصورتی که نتیجهی این بررسی منفی باشد، فعالیت خود را ادامه میدهند. حالت توسعهدهنده، ویژگی است که اغلب برای شناسایی درخواستهای شبکه و خطاهای امنیتی استفاده میشود.
در گزارشی جداگانه، محققان امنیتی از یک پویش مشابه که با استفاده از یک کد جاوااسکریپت میزبانیشده بر روی Firebase گوگل، کد مخرب را به چندین فروشگاه گسترش دادهاند، خبر دادند. این پویش، از تاریخ ۱۷ مارس مشاهده شده است. مهاجم پشت این عملیات، با ایجاد یک iFrame موقتی برای بارگیری یک حساب Google Analytics تحت کنترل خود، سعی در پنهانکردن فعالیتهای مخرب خود دارد. اطلاعات کارت اعتباری واردشده در فرمهای پرداخت، سپس رمزنگاری شده و به کنسول تحلیلی ارسال میشود.
با توجه به استفادهی گسترده از Google Analytics در این حملات، در صورت استفادهی مهاجمان از یک دامنهی مجاز برای ربودن اطلاعات حساس، اقدامات متقابل مانند سیاست امنیت محتوا دیگر کارایی نخواهند داشت.
به گفتهی محققان، یک راهحل احتمالی برای جلوگیری از این حملات، URLهای تطبیقی و اضافهکردن شناسه بهعنوان بخشی از URL یا زیردامنه است. این موضوع به مدیرها اجازه میدهد تا با تنظیم مقررات سیاست امنیت محتوا، ارسال دادهها به حسابهای دیگر را محدود کنند. در نهایت، محققان اعلام کردند، روشنکردن حالت توسعهدهنده در مرورگرها میتواند به مشتریان در محافظت از خود هنگام خرید آنلاین کمک کند.
