研究人员周一报道说,黑客现在正在利用Google的Google Analytics(分析)服务来秘密地从受感染的电子商务网站中窃取信用卡信息。
根据PerimeterX,Kaspersky和Sansec的几份独立报告,威胁执行者现在正在将受窃网站上的数据窃取代码与Google Analytics(分析)为其自己的帐户生成的跟踪代码结合起来,从而窃取用户输入的付款信息,甚至在强制执行内容安全策略以实现最大Web安全的条件。
卡巴斯基在昨天发布的一份报告中说:“攻击者向站点注入了恶意代码,站点收集了用户输入的所有数据,然后通过Analytics发送。” “因此,攻击者可以访问其Google Analytics(分析)帐户中的被盗数据。”
这家网络安全公司表示,它在欧洲,北美洲和南美洲发现了大约二十个受感染的网站,这些网站专门销售数字设备,化妆品,食品和零件。
绕过内容安全策略
攻击的前提是,使用Google的网络分析服务来跟踪访问者的电子商务网站已在其内容安全策略(CSP)中将相关域列入了白名单。
CSP是一项附加的安全措施,有助于检测和缓解由跨站点脚本漏洞和其他形式的代码注入攻击(包括各个Magecart组所接受的代码注入攻击)引起的威胁。
该安全功能允许网站管理员为特定的URL定义应允许与网络浏览器进行交互的一组域,从而防止执行不受信任的代码。
PerimeterX的研究副总裁Amir Shaked说:“问题的根源在于CSP规则系统不够精细。” “识别和阻止上述恶意JavaScript请求需要高级可见性解决方案,该解决方案可以检测敏感用户数据(在这种情况下为用户的电子邮件地址和密码)的访问和泄露。”
要使用这种技术收集数据,只需要一小段JavaScript代码即可通过事件和其他参数(例如Google Analytics(分析)用来唯一标识在网站上执行的不同操作)传输收集的详细信息,例如凭证和付款信息。
“管理员将* .google-analytics.com写入Content-Security-Policy标头(用于列出可从中下载第三方代码的资源),从而允许服务收集数据。此外,无需进行攻击即可实施攻击从外部来源下载代码,”卡巴斯基指出。
为了使攻击更加隐蔽,攻击者还确定是否在访问者的浏览器中启用了开发人员模式(该功能通常用于发现网络请求和安全错误等),并且仅在检查结果为否时继续操作。
3月以来的“新颖”运动
在昨天发布的另一份报告中,总部位于荷兰的Sansec(跟踪数字掠夺攻击)发现了自3月17日以来的类似活动,该活动使用Google的Firebase上托管的JavaScript代码在多家商店中传递了恶意代码。
出于混淆,该操作背后的参与者创建了一个临时iFrame来加载由攻击者控制的Google Analytics(分析)帐户。然后,使用先前使用的加密密钥对在付款表单上输入的信用卡数据进行加密并发送到分析控制台,从那里进行恢复。
鉴于在这些攻击中广泛使用Google Analytics(分析),如果攻击者利用已经允许的域劫持敏感信息,则CSP之类的对策将行不通。
“可能的解决方案将来自自适应URL,将ID添加为URL或子域的一部分,以允许管理员设置CSP规则以将数据泄漏到其他帐户,” Shaked总结说。
“加强CSP方向以考虑作为CSP标准的一部分的一个更精细的未来方向是XHR代理实施。这实质上将创建客户端WAF,该WAF可以就允许传输特定数据字段的位置实施策略。 ”。
不幸的是,作为客户,您无法采取任何措施来保护自己免受Formjacking攻击。在线购买时,在浏览器中打开开发人员模式会有所帮助。
*编译:Domino
*来自:thehackernews