in

Google Analytics era usado para roubo de pagamentos on-line

Alerta é feito por várias empresas de segurança cibernética

Google Analytics era usado para roubo de pagamentos on-line

Pesquisadores descobrem ataques cibernéticos que usam o Google Analytics para roubar informações de pagamento de usuários de lojas on-line. Isso já faz parte de diversos relatórios recentes de empresas no campo da segurança cibernética. Todas elas denunciam o recente aumento de um ataque cibernético que consiste no uso do Google Analytics (um serviço que coleta informações sobre visitas e hábitos de navegação e está presente em milhões de sites) para roubar informações de cartão de crédito de clientes da loja on-line. Portanto, o Google Analytics usado para a prática conhecida como skimming.

A Kaspersky, a Sansec e a Perimeter publicaram estudos que mostram que uma vulnerabilidade na plataforma de análise da web líder de mercado permite, após injetar código malicioso no site da loja on-line, filtrar e coletar informações sobre o processo de pagamento, ignorando políticas de segurança de conteúdo.

Tais políticas de segurança de conteúdo (CSPs) são, de acordo com a documentação da Mozilla, “uma camada adicional de segurança que ajuda a detectar e mitigar certos tipos de ataques, incluindo XSS (Cross-Site Scripting) e ataques de injeção de dados”.

Um modelo de segurança defeituoso. Google Analytics era usado para roubo de pagamentos on-line

Google Analytics era usado para roubo de pagamentos on-line

Porém, como os servidores do Google Analytics estão na lista de permissões na configuração do CSP (na verdade, eles são o serviço de terceiros mais comumente incluído nessas listas), os invasores precisam substituir apenas uma parte do código Javascript do Analytics sites para usá-lo a seu favor.

Como as regras do CSP não podem ser discriminadas com base no ID do Google Analytics, basta alterá-lo para o de suas próprias contas deste serviço. Então, de acordo com Amir Shaked, do PerimeterX, ao atingir esse “parâmetro dp (nome de usuário e senha) é enviado ao painel do invasor“.

Nas palavras do CEO da Sansec, Willem de Groot, em entrevista ao site da BleepingComputer, o problema é que “Tudo é permitido por padrão. O CSP foi inventado para limitar a execução de código não confiável. Entretanto, como quase todo mundo confia no Google, o modelo é defeituoso”.

Google Analytics usado para skimming

Este é um exemplo das técnicas de ‘skimming‘ (furto digital), cada vez mais populares, embora o Google Analytics não seja a única ferramenta usada para isso. O mesmo ocorre com outros aplicativos de análise da web, como seus semelhantes, o Baidu chinês e Yandex russo. Além disso, em alguns casos, os ‘skimmers’ acabam usando servidores de anúncios que usam banners como ‘cavalos de Troia’. No entanto, devido a maior utilização, o Google Analytics era usado para roubo de pagamentos on-line.

O grande suspeito de realizar a série desses crimes é o grupo de criminosos cibernéticos Magecart. Ele foi fundado em 2016. Seus integrantes estão incluídos na lista das pessoas mais perigosas desde 2018.

Genbeta