Web-skimming, een redelijk veelvoorkomende methode voor het verkrijgen van de kaartgegevens van bezoekers van online winkels, is een aloude praktijk van cybercriminelen. Onlangs hebben onze experts echter een gevaarlijke innovatie ontdekt waarbij gebruikt wordt gemaakt van Google Analytics om gestolen gegevens te verkrijgen. Laten we eens kijken waarom dit zo gevaarlijk is en wat u eraan kunt doen.
Hoe web-skimming in zijn werk gaat
Het idee is dat aanvallers schadelijke code in de pagina’s op de doelwebsite injecteren. Hoe ze dit doen is een heel ander onderwerp. Soms worden er brute-force-aanvallen gebruikt om het wachtwoord van een beheerdersaccount te verkrijgen of stelen ze het simpelweg; soms benutten ze de kwetsbaarheden in het content management system (CMS) of in een van de plug-ins van derden; en soms dienen ze deze injectie toe via een onjuist gecodeerd invulformulier.
De geïnjecteerde code houdt alle gebruikershandelingen bij (inclusief de ingevoerde kaartgegevens) en verstuurt al deze informatie naar de eigenaar. In het overgrote merendeel van de gevallen is web-skimming dus een soort cross-site scripting.
Waarom Google Analytics?
Gegevensverzameling is slecht de eerste stap. Malware moet de verzamelde informatie ook nog naar de aanvaller versturen. Web-skimming bestaat echter al jaren, dus de industrie heeft mechanismes ontwikkeld om hier iets tegen te doen. Eén methode omvat het gebrruik van een Content Security Policy (CSP): een technische header die alle diensten die het recht hebben om informatie op een bepaalde website of pagina te verzamelen vermeldt. Als de dienst die door cybercriminelen wordt gebruikt niet in de header staat vermeld, kunnen de boosdoeners de informatie die ze verzamelen niet versturen. In het licht van dit soort beschermingsmaatregelen, kwam een aantal fraudeurs op het idee om Google Analytics te gebruiken.
Tegenwoordig houdt bijna elke website zorgvuldig de bezoekersstatistieken in de gaten. Online winkels doen dit vanzelfsprekend ook. De handigste tool hiervoor is Google Analytics. Met deze service kunnen er op basis van vele parameters gegevens worden verzameld, en momenteel maken hier zo’n 29 miljoen sites gebruik van. De kans dat gegevensoverdracht naar Google Analytics is toegestaan in de CSP-header van een online winkel is zeer hoog.
Om website-statistieken te verzamelen, hoeft u alleen maar wat tracking-paramters in te stellen en een tracking-code aan uw pagina’s toe te voegen. Wat betreft de dienst bent u de legitieme eigenaar van de website als u deze code kunt toevoegen. Dus het schadelijke script van de aanvallers verzamelt gebruikersgegevens en vervolgens versturen ze deze met gebruik van hun eigen tracking-code via het Google Analytics Measurement Protocol rechtstreeks naar hun account. Securelists post biedt meer details over het aanvalsmechanisme en de indicators of compromise.
Wat te doen
De voornaamste slachtoffers van deze truc zijn gebruikers die online de gegevens van hun bankkaart invoeren. Voor het grootste gedeelte moet het probleem worden aangepakt door de bedrijven die websites met betaalformulieren ondersteunen. Om gegevenslekken op uw website te voorkomen, raden we het volgende aan:
- Update regelmatig alle software, inclusief webapplicaties (de CMS en al zijn plug-ins);
- Installeer alleen CMS-componenten van betrouwbare bronnen;
- Implementeer een streng CMS-toegangsbeleid dat de gebruikersrechten tot een minimum beperkt en het gebruik van een sterk en uniek wachtwoord verplicht;
- Voer periodieke beveiligingsaudits uit op de site met het betaalformulier.
Voor gebruikers, de potentiële directe slachtoffers van deze truc, is het advies eenvoudig: gebruik betrouwbare beveiligingssoftware. Kaspersky-oplossingen voor zowel thuis gebruikers als mkb's detecteren schadelijke scripts op betaalsites dankzij onze Safe Money-technologie.