Google Analytics come canale di esfiltrazione dati

I nostri esperti hanno scoperto una tecnica per estrarre i dati dei titolari di carte di credito utilizzando i tool di Google.

Il web skimming, un metodo abbastanza comune per ottenere i dati dei titolari delle carte di credito che visitano negozi online, è una pratica criminale informatica ormai consolidata. Tuttavia, di recente i nostri esperti hanno scoperto una novità piuttosto pericolosa che prevede l’uso di Google Analytics per estrarre i dati rubati. Scopriamo perché questa tecnica è una minaccia e come affrontarla.

Web skimming: come funziona

L’idea di base è che i cybercriminali inseriscono un codice dannoso nelle pagine del sito web scelto come obiettivo. Come lo fanno è una questione a parte. A volte rubano la password di un account amministratore (mediante attacchi di forza bruta); altre sfruttano le vulnerabilità del Content Management System (CMS) o di uno dei plugin di terze parti; altre ancora iniettano il codice dannoso attraverso un modulo codificato in modo errato.

Il codice iniettato registra le azioni dell’utente (inclusi i dati della carta di credito digitati) e trasferisce il tutto al suo proprietario (ovvero ai cybercriminali). Quindi, nella stragrande maggioranza dei casi, il web skimming è un tipo di cross-site scripting.

Perché Google Analytics?

La raccolta dei dati è solo la metà del lavoro. Il malware dovrà inviare le informazioni raccolte ai cybercriminali. Poiché il web skimming è in circolazione da anni, sono stati sviluppati meccanismi per combatterlo. Un metodo prevede l’utilizzo di una Content Security Policy (CSP), un header tecnico che elenca tutti i servizi che hanno il permesso di raccogliere informazioni su un particolare sito o pagina. Se il servizio utilizzato dai criminali informatici non è presente nell’header, gli hacker non saranno in grado di ritirare le informazioni raccolte. Alla luce di tali misure di protezione, alcuni cybercriminali hanno avuto l’idea di utilizzare Google Analytics.

A giorno d’oggi, quasi tutti i siti web monitorano attentamente le statistiche dei visitatori. I negozi online lo fanno sistematicamente. Lo strumento più comodo per questo scopo è Google Analytics. Il servizio consente la raccolta di dati sulla base di molti parametri e attualmente circa 29 milioni di siti lo utilizzano. La probabilità che il trasferimento dei dati a Google Analytics sia consentito nell’header CSP di un negozio online è estremamente elevata.

Per raccogliere le statistiche del sito web, non bisogna fare altro che configurare i parametri di tracking e aggiungere tale codice alle vostre pagine. Per quanto riguarda il servizio, se siete in grado di aggiungere questo codice, siete i legittimi proprietari del sito. Lo script dannoso dei cybercriminali raccoglie i dati degli utenti e poi, utilizzando il proprio codice di tracking, li invia attraverso Google Analytics, direttamente all’account dei cybercriminali. Nel nostro post su Securelist troverete maggiori dettagli sul meccanismo di attacco e sugli indicatori di compromissione.

Cosa fare

Le principali vittime del sistema sono gli utenti che inseriscono online i dati della carta di credito. Nella maggior parte dei casi, il problema deve essere affrontato dalle aziende che supportano i siti web con dei moduli di pagamento. Per evitare la fuga di dati degli utenti dal vostro sito, vi consigliamo di:

  • Aggiornare regolarmente tutti i software, comprese le applicazioni web (il CMS e tutti i suoi plugin);
  • Installare componenti CMS solo da fonti affidabili;
  • Adottare una rigorosa politica di accesso al CMS che limita i diritti degli utenti allo stretto indispensabile e impone l’uso di password forti e uniche;
  • Condurre controlli periodici di sicurezza del sito su cui è presente il modulo di pagamento.

Per quanto riguarda gli utenti, le potenziali vittime dirette di questa truffa, il consiglio è semplice: utilizzate un software di sicurezza affidabile. Le soluzioni Kaspersky per utenti privati e PMI grazie alla nostra tecnologia Safe Money rilevano gli script dannosi sui siti di pagamento.

Consigli