研究人员周一报道说,黑客现在正在利用Google Analytics服务来从被感染的电子商务网站中秘密地窃取信用卡信息。
根据PerimeterX,Kaspersky和Sansec的几份独立报告显示,黑客现在正在将受窃网站上的数据窃取代码与Google Analytics为其自己的帐户生成的跟踪代码结合起来,从而窃取用户输入的付款信息,甚至可以强制绕过内容安全策略来执行恶意代码。
卡巴斯基在昨天发布的一份报告中说:攻击者向站点注入了恶意代码,站点收集了用户输入的所有数据,然后通过Analytics发送。然后攻击者可以访问其Google Analytics帐户中的被盗数据。
这家网络安全公司表示,它在欧洲、北美洲和南美洲发现了大约二十个受感染的网站,这些网站专门销售数字设备、化妆品、食品和零件。
绕过内容安全策略
攻击的前提是访问者访问的电子商务网站使用Google Analytics来跟踪分析用户行为,并且已在其内容安全策略中(CSP)将相关域列入了白名单。
CSP是一项附加的安全措施,可帮助检测和缓解由跨站攻击漏洞和其他形式的代码注入攻击。该安全功能允许网站管理员为特定的URL定义应允许与网络浏览器进行交互的一组域,从而防止执行不受信任的代码。
PerimeterX的研究副总裁Amir Shaked说:问题的根源在于CSP规则系统不够精细。识别和阻止上述恶意JavaScript请求需要高级可见性解决方案,该解决方案可以检测敏感用户数据的访问和泄露。
要使用这种技术收集数据,只需要一小段JavaScript代码即可通过事件和其他参数传输收集的详细信息,例如凭证和付款信息。管理员将* .google-analytics.com写入Content-Security-Policy标头,用于列出可从中下载第三方代码的资源,从而允许服务收集数据。
卡巴斯基指出。为了使攻击更加隐蔽,攻击者还确定是否在访问者的浏览器中启用了开发人员模式,该功能通常用于发现网络请求和安全错误等,并且仅在检查结果为否时继续操作。
3月以来新一轮的攻击
在昨天发布的另一份报告中,总部位于荷兰的Sansec(跟踪数字掠夺攻击的一个组织结构)发现了自3月17日以来的类似活动,该活动使用Google Firebase上托管的JavaScript代码在多家商店中传递了恶意代码。
出于混淆的目的,该攻击者创建了一个临时iFrame来加载由攻击者控制的Google Analytics(分析)帐户。然后,使用先前使用的加密密钥对在付款表单上输入的信用卡数据进行加密,然后将其发送到分析控制台,从中进行恢复。
鉴于在这些攻击中广泛使用Google Analytics,如果攻击者利用已经允许的域劫持敏感信息,则CSP之类的对策将行不通。
Shaked总结说:可能的解决方案来自自适应URL,将ID添加为URL或子域的一部分,以允许管理员设置CSP规则以将数据泄漏到其他帐户。
加强CSP方向可以作为CSP标准的一部分考虑,更精细的未来方向是XHR代理实施。这实质上将创建客户端的WAF,该WAF可以就允许传输特定数据字段的地方实施策略。
不幸的是,作为客户,您无法采取任何措施来保护自己免受Formjacking攻击。在线购买时,在浏览器中打开开发人员模式会有所帮助。