February 18, 2025
Как воруют данные платежных карт интернет-покупателей
Исследователи Kaspersky раскрыли новую технику атаки, известной как веб-скимминг, — кражи платежных данных покупок, совершенных в онлайн-магазинах. Зарегистрировав учетную запись в Google Analytics и вставив ее код отслеживания в исходный код веб-сайта, злоумышленники могут собирать информацию о кредитных картах пользователей. С помощью этого метода было взломано около двух дюжин онлайн-магазинов по всему миру.
Веб-скимминг – популярная практика, которую злоумышленники используют для кражи данных кредитных карт пользователей со страниц онлайн-магазинов. Взломщики внедряют части кода в исходный код веб-страницы. Вредоносный код собирает данные, введенные пользователями сайта (например, логины в платежных системах или номера кредитных карт), и отправляет собранные данные по адресу, указанному злоумышленниками во вредоносном коде. Зачастую, чтобы скрыть факт взлома веб-сайта, злоумышленники регистрируют домен с названием, похожим на популярный сервис веб-аналитики, например, Google Analytics. В таком случае администратору сайта сложнее понять, что страница была взломана при помощи внедрения вредоносного кода. К примеру, страницу с названием “googlc-analytics[.]com” легко перепутать с настоящим доменом.
Однако недавно исследователи Kaspersky раскрыли ранее неизвестную технику проведения веб-скимминговых атак. Вместо того, чтобы перенаправлять данные на сторонние ресурсы, они отправляют их на официальную учетную запись Google Analytics. Злоумышленники регистрируют свою учетную запись на Google Analytics и настраивают параметры ее трекинга, чтобы получить трекинг ID. Далее они внедряют вредоносный код вместе с трекинг ID в исходный код веб-страницы, что позволяет им собирать данные о посетителях и отправлять их напрямую в учетную запись Google Analytics.
Так как данные не перенаправляются на неизвестные сторонние ресурсы, администраторам сложно понять, что сайт взломан. При изучении исходного кода выглядит будто страница соединена с официальной учетной записью Google Analytics – что является стандартной практикой онлайн-магазинов.
Для того, чтобы вредоносную активность было еще сложнее заметить, злоумышленники также используют стандартную технику антиотладки: если администратор сайта изучает исходный код веб-страницы в режиме разработчика, вредоносный код не исполняется. Таким образом было взломано более двух десятков веб-страниц, включая магазины в Европе, Северной и Южной Америке.
«Это очень эффективная техника, с которой мы не встречались ранее. Google Analytics – один из самых популярных сервисов веб-аналитики. Большая часть разработчиков и пользователей доверяют ему, соответственно, администраторы сайтов часто дают разрешение на сбор данных пользователей. Это делает вредоносную атаку с использованием учетной записи Google Analytics незаметной, ее легко упустить из вида. Администратор не должен автоматически давать разрешение на допуск к коду любому достоверному стороннему источнику», — комментирует управляющий директор Kaspersky в Балтии Андис Штейнманис
Оставить комментарий