Hakerzy wykorzystują nie tylko Google Analytics ale również serwery Google do kradzieży informacji o kartach kredytowych przesłanych przez klientów e-commerce.

Nowa taktyka, która opiera się na wykorzystywaniu API Google Analytics pozwala sprawnie oszukać/ominąć standard Content Security Policy (CSP). Atakujący wykorzystują fakt, że wiele sklepów internetowych korzystających z usługi Google Analytics dodaje ją do tzw. białej listy domen w konfiguracji CSP.

Luka w zabezpieczeniach CSP

Okazało się, że system reguł CSP nie jest wystarczająco szczegółowy. Atakujący wstrzykują web skimmer ze specjalnie zaprojektowanym skryptem do dekodowania skradzionych danych. Po załadowaniu skryptu, przestępcy są w stanie monitorować witrynę pod kątem wprowadzanych przez użytkowników informacji. Jeśli trafią na dane o kartach kredytowych są one szyfrowane a następnie przesyłane na dashboard Google Analytics. Tam atakujący odszyfrowują je przy użyciu klucza deszyfrującego XOR. Tak więc jedyne co muszą zrobić, to podać własny numeru identyfikacyjny konta / tagu (UA – ####### – #).

Specjaliści z Zespołu Badań Zagrożeń firmy Sansec od 17 marca monitorują inną kampanię, która przebiega jednak w bardzo podobny sposób. W jej wypadku przestępcy upewnili się, aby wszystkie komponenty wykorzystywane w czasie ataku korzystały z serwerów Google Firebase. Czy to kolejny sprytny ruch? Oczywiście. Grupa Magecart zazwyczaj korzysta z serwerów zlokalizowanych w tzw. rajach podatkowych. Administrator, który odkryje taki „podejrzany” adres serwera zareaguje w bardzo przewidywalny sposób. Ale co w sytuacji kiedy mamy do czynienia z cieszącymi się zaufaniem serwerami Google? Znikoma liczba systemów bezpieczeństwa oznaczy je jako podejrzane. Przynajmniej na ten moment.

Źródło