It-sikkerhedsvirksomheden Kaspersky har afsløret en ny metode, som hackerne bruger til at stjæle folks betalingsoplysninger på netbutikker.
Metoden indebærer, at hackerne opretter Google Analytics-konti og indsætter disse kontis sporingskode i kildekoden på hjemmesider, for derved at indsamle brugernes kreditkortoplysninger.
Web-skimming er en populær praksis, som hackerne bruger til at stjæle folks kreditkortoplysninger fra betalingssiderne på netbutikker. Metoden går ud på, at hackerne indsætter ondsindede koder i kildekoden på udvalgte hjemmesider. Denne kode indsamler derefter de data, der er indtastet af de besøgende på hjemmesiden (dvs. betalingskonto-logins eller kreditkortnumre) og sender så de høstede data til den adresse, der er angivet af hackerne i den ondsindede kode. For at skjule, at hjemmesiden er blevet angrebet, opretterhackerne ofte domæner med navne, der ligner populære webanalysetjenester, såsom Google Analytics. Når de indsætter den ondsindede kode, er det således svært for webadministratoren at vide, at webstedet er under angreb.
Ny og hidtil ukendt metode gør angrebene svære at opdage
For nylig har analytikere fra Kaspersky imidlertid opdaget en hidtil ukendt metode til udførelse af disse web-skimming-angreb. I stedet for at omdirigere dataene til selvoprettede domæner, omdirigerer de dem til officielle Google Analytics-konti. Når hackerne registrerer deres konti på Google Analytics, er det eneste, de behøver at gøre, at konfigurere kontoernes sporingsmodul til at modtage et sporings-id. De indsætter derefter den ondsindede kode sammen med sporings-id’et i websidens kildekode, hvilket gør det muligt for dem at indsamle data om besøgende og få den sendt direkte til hackernes Google Analytics-konti.
Eftersom data ikke bliver sendt videre til en ukendt tredjeparts webanalysetjeneste, er det vanskeligt for administratorerne at opdage, at webstedet er kompromitteret. For dem, der undersøger kildekoden, ser det ud til, at siden er forbundet med en officiel Google Analytics-konto, hvilket er ganske almindelig praksis for onlinebutikker.
Cirka to dusin hjemmesider i Europa og Nord- og Sydamerika har vist sig at være ramt af denne type angreb.
”Det er en metode, vi ikke har set før, og som er særdeles effektiv. Google Analytics er en af de mest populære webanalysetjenester og derfor har langt de fleste udviklere og brugere tillid til den, hvilket betyder, at webadministratorer ofte giver tilladelse til indsamling brugerdata. Det gør ondsindede angreb, der indeholder Google Analytics-konti, lette at overse. Derfor skal administratorer være påpasselige med at gå ud fra, at bare fordi tredjeparts tjenesten ser ud til at være legitim, så er dens tilstedeværelse i kildekoden det samme,” kommenterer Victoria Vlasova, Senior Malware Analyst hos Kaspersky.
Kaspersky har informeret Google om problemet, der udtaler, at de løbende investerer i opdagelse af spam.
