Dane karty kredytowej a Google Analytics
Google Analytics, czyli narzędzie do analizy statystyk serwisów WWW stworzone przez firmę Google, stało się narzędziem do wykradania danych kart kredytowych. Jak pokazuje historia, hakerzy od dawien dawna szukają sposobów, aby dostać się do naszych kont bankowych w celu dokonania rabunku. Jak dotąd nie mają idealnej metody na przeprowadzenie cyber ataku, gdyż z każdą z nich można walczyć i odpowiednio zabezpieczyć się. Metody takie jak odpowiednie nakładki na bankomaty czy phishing mogą odejść do lamusa, gdyż jakiś czas temu została odkryta nowa metoda, właśnie dzięki wspomnianemu na początku Google Analytics. Z samego klonowania kart kredytowych zrezygnowano około roku 2003, kiedy wprowadzono karty chipowe uniemożliwiające ich sklonowanie.
Sprawę odkryli ludzie z firmy zajmującej się zaawansowanymi zabezpieczeniami online, Trustwave SpiderLabs. Okazało się, że hakerzy zaczęli wykorzystywać Google Analytics do przesyłania skradzionych danych zawartych w kartach kredytowych. Jak to działa?
Atakujący zmienia kod źródłowy strony z płatnościami tak, aby dane dotyczące karty kredytowej były wysyłane np. bezpośrednio na jego maila, bądź przechowywane w bezpiecznym i dostępnym dla niego miejscu. Sposób ten polega na wysyłaniu przez serwer sprzedającego informacji dalej lub przechowaniu jej u siebie, co można odczytać używając narzędzia do monitorowania sieci.
Atakujący dodaje do kodu źródłowego strony sprzedającego linię kodu w formie ciągu base64, odpowiadająca za zbieranie danych kart kredytowych (numer karty, data ważności, 3-cyfrowy kod CVV2) wprowadzonych w odpowiednie pola formularzu. Linia ta jest zapisywana w zmiennej „ $a „. Zmienna ta nie odpowiada jednak za wysłanie danych pod nieznany adres IP, tylko odnosi się do innej części kodu źródłowego. Część ta odpowiada za wysłanie danych podporządkowanych pod zmienną „ $a „ do narzędzia Google Analytics za pośrednictwem JavaScript. ID Google Analytics sprzedającego zostaje podmienione na ID atakującego, z dodatniem linii _gaq.push([’_set’, 'page’, '”.$a.”’]). Całość jest trudna do odkrycia dla przeciętnego użytkownika Internetu, który z reguły ufa e-sklepom, w których dokonuje zakupów i płatności online.
Na obecną chwilę nie ma skutecznej metody na obronę przed tego typu kradzieżą danych kart kredytowych.
Tagi: Google, oszustwa internetowe, rozliczenia bezgotówkowe