ΑρχικήsecurityΧάκερς κλέβουν δεδομένα πιστωτικών καρτών με το Google Analytics!

Χάκερς κλέβουν δεδομένα πιστωτικών καρτών με το Google Analytics!

Χάκερς χρησιμοποιούν τους Google servers και την πλατφόρμα του Google Analytics για να κλέψουν δεδομένα πιστωτικών καρτών από χρήστες που πραγματοποιούν αγορές και πληρωμές σε online καταστήματα. Μια νέα μέθοδος για την παράκαμψη της Πολιτικής ασφάλειας περιεχομένου (CSP) με την χρήση του Google Analytics API που ήρθε στο φως της δημοσιότητας πριν λίγες μέρες, έχει ήδη αναπτυχθεί σε συνεχιζόμενες επιθέσεις Magecart που έχουν σχεδιαστεί για τη συλλογή δεδομένων πιστωτικών καρτών από site ηλεκτρονικού εμπορίου. Αυτή η νέα τακτική εκμεταλλεύεται το γεγονός ότι τα site ηλεκτρονικού εμπορίου που χρησιμοποιούν το Google Analytics για την παρακολούθηση των επισκεπτών, παραχωρούν τη λίστα επιτρεπόμενων domain του Google Analytics στο CSP configuration τους, που είναι ένα πρότυπο ασφαλείας το οποίο χρησιμοποιείται για τον αποκλεισμό της εκτέλεσης μη αξιόπιστου κώδικα σε web εφαρμογές.

Google Analytics

Νέα έρευνα από τις εταιρείες διαδικτυακής ασφάλειας Sansec και PerimeterX αποκαλύπτει ότι η χρήση CSP για την αποτροπή επιθέσεων παραβίασης πιστωτικών καρτών, είναι άσκοπη σε site που αναπτύσσουν το Google Analytics, δεδομένου ότι οι χάκερς μπορούν να το χρησιμοποιήσουν για τη μεταφορά των δεδομένων που κλέβουν, στους δικούς τους λογαριασμούς. Πριν λίγες μέρες, η PerimeterX εντόπισε μία ευπάθεια στη βασική λειτουργικότητα του CSP κατά τη χρήση του για τον αποκλεισμό της κλοπής credential, PII και δεδομένων πληρωμής όπως πιστωτικών καρτών. Αντί να αποκλείει επιθέσεις που βασίζονται σε έγχυση, το Google Analytics βοηθά τους χάκερς να ωφεληθούν, καθώς μπορούν να το χρησιμοποιήσουν για να κλέψουν δεδομένα. Αυτό πραγματοποιείται μέσω ενός web skimmer script που έχει σχεδιαστεί ειδικά για να κωδικοποιεί κλεμμένα δεδομένα και να τα παραδίδει στον πίνακα ελέγχου GA του εισβολέα σε κρυπτογραφημένη μορφή. Οι χάκερς πρέπει να χρησιμοποιούν μόνο τον δικό τους κάτοχο αναγνωριστικού ετικέτας του UA – ####### – # form καθώς η πολιτική CSP δεν μπορεί να κάνει διακρίσεις με βάση το αναγνωριστικό ετικέτας για τα script τους για να μπορούν να καταχραστούν το GA με στόχο την αποστολή συλλεγμένων πληροφοριών, όπως credential και δεδομένα πιστωτικών καρτών. Ο Αντιπρόεδρος της PerimeterX, Amir Shaked, ανέφερε πως η πηγή του προβλήματος βρίσκεται στο γεγονός ότι το σύστημα κανόνων CSP δεν είναι αρκετά “σπυρωτό”.

χάκερς

Η αναγνώριση και ο αποκλεισμός script που έχουν σχεδιαστεί για την κατάχρηση αυτού του ελαττώματος απαιτεί προηγμένες λύσεις που να μπορούν να ανιχνεύσουν την πρόσβαση και την κλοπή – μεταφορά ευαίσθητων δεδομένων χρηστών. Στη συγκεκριμένη περίπτωση οι ευαίσθητες πληροφορίες είναι διευθύνσεις email και κωδικοί πρόσβασης χρηστών. Από τα 3 εκατομμύρια κορυφαία domains του διαδικτύου, μόνο 210.000 χρησιμοποιούν CSP σύμφωνα με στατιστικά στοιχεία της PerimeterX που προέκυψαν από μια σάρωση του HTTPArchive από τον Μάρτιο του 2020. 17.000 από τα site που είναι προσβάσιμα μέσω αυτών των domain εισάγουν τη λίστα επιτρεπόμενων στο google-analytics.com. Με βάση τα στατιστικά στοιχεία που παρέχει η BuiltWith, περισσότερα από 29 εκατομμύρια site χρησιμοποιούν το Google Analytics, με τα Baidu Analytics και Yandex Metrika να χρησιμοποιούνται σε περισσότερα από 7 εκατομμύρια και 2 εκατομμύρια site, αντίστοιχα.

χάκερς-δεδομένα πιστωτικών καρτών κλοπή


Η ομάδα έρευνας απειλών της Sansec δήλωσε ότι παρακολουθεί μια εκστρατεία Magecart από τις 17 Μαρτίου, με τους χάκερς να εκμεταλλεύονται αυτό το πρόβλημα για να παρακάμψουν το CSP σε δωδεκάδες site ηλεκτρονικού εμπορίου που χρησιμοποιούν το Google Analytics. Οι χάκερς που βρίσκονται πίσω από αυτήν την εκστρατεία προχώρησαν ένα βήμα παραπέρα διασφαλίζοντας ότι όλα τα στοιχεία της εκστρατείας χρησιμοποιούν Google servers, καθώς μετέφεραν το web skimmer πιστωτικών καρτών στα site των στόχων τους μέσω της ανοιχτής πλατφόρμας αποθήκευσης της Google firebasestorage.googleapis.com. Η Sansec εξήγησε πως όταν μια εκστρατεία skimming εκτελείται εξ ολοκλήρου σε αξιόπιστους Google servers, πολύ λίγα συστήματα ασφαλείας θα την επισημάνουν ως ύποπτη, ενώ δημοφιλή αντίμετρα, όπως το Content-Security-Policy (CSP), δεν θα λειτουργούν όταν ένας διαχειριστής site εμπιστεύεται την Google. Ο loader που χρησιμοποιούν οι χάκερς για να εγχύσουν το web skimmer έχει πολλά επίπεδα και χρησιμοποιείται για τη φόρτωση ενός ελεγχόμενου από τους εισβολείς λογαριασμό GA σε ένα προσωρινό iFrame. Μόλις φορτωθεί, το skimmer παρακολουθεί το παραβιασμένο site για είσοδο χρηστών και κλέβει στοιχεία των πιστωτικών καρτών που έχουν εισαχθεί, τα κρυπτογραφεί και τα μεταφέρει αυτόματα στον πίνακα ελέγχου GA των χάκερς. Οι χάκερς μπορούν στη συνέχεια να συλλέξουν τα κλεμμένα δεδομένα πιστωτικών καρτών από τον δωρεάν πίνακα ελέγχου του Google Analytics και να τα αποκρυπτογραφήσουν χρησιμοποιώντας ένα κλειδί κρυπτογράφησης XOR.

δεδομένα πιστωτικών καρτών-κλοπή

Σύμφωνα με την Sansec, εάν οι πελάτες ενός online καταστήματος, των οποίων τα δεδομένα παραβιάστηκαν, άνοιγαν τα εργαλεία προγραμματισμού του browser τους, θα ειδοποιούνταν και το skimmer θα απενεργοποιούταν αυτόματα. Ο CEO και ο ιδρυτής της Sansec, Willem de Groot, δήλωσε στο BleepingComputer πως όλα επιτρέπονται από προεπιλογή. Το CSP δημιουργήθηκε για να περιορίσει την εκτέλεση μη αξιόπιστου κώδικα. Αλλά επειδή σχεδόν όλοι εμπιστεύονται την Google, το μοντέλο είναι ελαττωματικό. Με βάση αυτά τα ευρήματα, το CSP απέχει πολύ από το να είναι αλάθητο απέναντι σε επιθέσεις web εφαρμογών που βασίζονται σε έγχυση, όπως το Magecart, εάν οι χάκερς βρουν έναν τρόπο να επωφεληθούν από ένα ήδη επιτρεπόμενο domain ή υπηρεσία για να κλέψουν πληροφορίες. Μια λύση θα μπορούσε να προέλθει από προσαρμοστικές διευθύνσεις URL, με την πρόσθεση ID ως μέρος της διεύθυνσης URL ή subdomain για να επιτρέπεται στους διαχειριστές να ορίσουν κανόνες CSP που περιορίζουν την αποστολή δεδομένων σε άλλους λογαριασμούς.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS