Los delincuentes utilizan indebidamente Google Analytics para ocultar el robo de datos de tarjetas de pago


  Los delincuentes utilizan indebidamente Google Analytics para ocultar el robo de datos de tarjetas de pago.

Los piratas informáticos utilizan indebidamente Google Analytics para ocultar información de tarjetas de crédito robadas de sitios web de comercio electrónico infectados, informaron investigadores el lunes.

Las tarjetas de pago de descremado solían referirse solo a la práctica de infección de máquinas expendedoras en tiendas físicas. El malware extraería números de tarjetas de crédito y otros datos. Los atacantes luego usarían o venderían la información robada para poder usarla en el fraude con tarjetas de pago.

Más recientemente, este tipo de ataques a sitios web de comercio electrónico se han expandido después de que los piratas informáticos los comprometieron. Los hackers usan el control que reciben para instalar código no autorizado que se ejecuta en el sistema de fondo que recibe y procesa la fecha de la tarjeta de pago durante una transacción en línea. El código malicioso luego copia los datos.

Bajo el radar

Un desafío para extraer el hack es eludir las políticas de seguridad del sitio u ocultar la filtración de grandes cantidades de datos confidenciales de las aplicaciones de seguridad de punto final instaladas en la red infectada. Los investigadores de Kaspersky Lab dijeron el lunes que recientemente han observado alrededor de dos docenas de sitios infectados que han encontrado una nueva forma de hacerlo. En lugar de enviarlo a servidores controlados por atacantes, los atacantes lo envían a las cuentas de Google Analytics que controlan. Debido a que el servicio de Google está tan extendido, las pautas de seguridad para los sitios web de comercio electrónico generalmente confían en que recibirá datos.

"Google Analytics es un servicio extremadamente popular (utilizado en más de 29 millones de sitios web por BuiltWith) en el que los usuarios confían ciegamente", escribió la investigadora de Kaspersky Lab, Victoria Vlasova. “Los administradores escriben * .google-analyse.com en el encabezado de la política de seguridad de contenido (utilizado para enumerar los recursos de los que se puede descargar el código de terceros) para que el servicio pueda recopilar datos. Además, el ataque se puede implementar sin descargar código de fuentes externas. "

El investigador agregó:" Para recopilar datos sobre los visitantes que utilizan Google Analytics, el propietario del sitio web debe configurar los parámetros de seguimiento en su cuenta en analyse.google.com Obtener la identificación de seguimiento (identificación de seguimiento, una cadena como esta: UA-XXXX-Y) y péguela en las páginas web junto con el código de seguimiento (un fragmento de código especial). Múltiples códigos de seguimiento pueden afectar sus hombros en un sitio web y enviar datos sobre los visitantes a diferentes cuentas de análisis. "

El" UA-XXXX-Y "se refiere a la identificación de seguimiento que Google Analytics utiliza para distinguir una cuenta de otra. Como se muestra en la captura de pantalla a continuación, que muestra el código malicioso en un sitio web infectado, los ID (subrayados) pueden fusionarse fácilmente con un código legítimo.

Los representantes de Google no respondieron a un correo electrónico buscando un comentario sobre la historia, preguntando si Google Analytics tiene medidas para prevenir este tipo de abuso.

Los atacantes usan otras técnicas para mantenerse en secreto. En algunos casos, la recuperación de datos se cancela si la persona que ingresa los datos de la tarjeta de pago ha activado el modo desarrollador en su navegador. Dado que los investigadores de seguridad a menudo usaban el modo de desarrollador para detectar tales ataques, los piratas informáticos no roban datos en estos casos. En otros casos, los atacantes utilizan métodos de depuración de programas para ocultar la actividad maliciosa.

Descremar las tarjetas de pago en los sitios web sigue siendo un problema, especialmente para las personas que compran en tiendas minoristas en línea más pequeñas que no prestan suficiente atención a la seguridad de sus sistemas. Hay algunas excepciones notables, pero en general, los sitios web más grandes son menos propensos a este tipo de pirateo.

En la mayoría de los casos, si no en todos, es imposible que los usuarios finales vean las tarjetas de crédito a simple vista. Sin embargo, la mayoría de los productos antivirus interceptarán todos o la mayoría de estos ataques. Las compras en línea con el modo de desarrollador activado no pueden dañar y son útiles en muchos casos. Dicho esto, la mejor defensa es revisar periódicamente y cuidadosamente las declaraciones de compras y tarifas no autorizadas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *