Google Analytics как канал эксфильтрации данных

Как работает веб-скимминг
Суть атаки сводится к тому, что злоумышленники внедряют в страницы чужого сайта вредоносный код. Как они это делают — отдельный вопрос. Иногда подбирают (или воруют) пароли к учетной записи администратора, иногда пользуются уязвимостями в системе управления контентом (CMS) или в одном из ее сторонних плагинов, иногда инжектируют через некорректно написанную форму ввода.
Внедренный код сохраняет все действия пользователя (включая, к примеру, вводимые им данные банковских карт) и передает собранную информацию хозяину. Так что в подавляющем большинстве случаев веб-скимминг — это один из видов  межсайтового скриптинга .
Зачем злоумышленникам Google Analytics
Собрать данные в этой схеме — полдела. Их еще нужно отправить атакующему. А поскольку веб-скиммеры известны уже не первый год, с ними научились бороться. Один из механизмов борьбы называется Content Security Policy (CSP). Он реализован в виде технического хедера, в котором перечислены сервисы, имеющие право на сбор информации на конкретном сайте или странице. Если адреса злоумышленников там нет, то вывести собранную информацию не получится. Вот тут-то злоумышленникам и пришла в голову идея пользоваться сервисом Google Analytics.
Практически все сайты тщательно следят за статистикой посещения. Интернет-магазины делают это с вероятностью, близкой к стопроцентной. Сервис Google Analytics позволяет собирать множество параметров и сейчас используется примерно на  29 миллионах  сайтов. Вероятность, что передача данных Google Analytics будет разрешена в CSP-заголовке интернет-магазина, крайне высока.
Все, что нужно для сбора статистики на сайте — настроить параметры отслеживания и вставить на страницы своего ресурса специальный код. С точки зрения сервиса, если вы можете вставить этот код на сайт — значит, являетесь легитимным представителем владельца этого ресурса. Вредоносный скрипт собирал данные посетителей, а затем, используя код отслеживания, которым его снабдил злоумышленник, отправлял их с помощью Google Analytics Measurement Protocol прямиком в личный кабинет атакующего. Подробности о механизме атаки и индикаторах компрометации ищите  в блогпосте на сайте Securelist .
Что делать?
Основными жертвами этой схемы будут пользователи, которым приходится вводить платежные данные на сайтах. Но решать эту проблему нужно на стороне компаний, поддерживающих веб-страницы с платежными формами. Вот несколько советов, которые помогут исключить возможность утечки данных ваших пользователей через сайт:

Регулярно обновляйте используемое ПО, не забывая про веб (CMS и все ее плагины)
Не устанавливайте компоненты CMS из непроверенных источников.
Проводите строгую политику доступа к CMS: ограничивайте права пользователей до минимально необходимых и настаивайте на использовании надежных и уникальных паролей.
Периодически проводите аудит безопасности сайта с платежной формой.

Пользователям можно посоветовать лишь одно: использовать надежное защитное ПО. Наши решения и для  домашних пользователей , и для  малого бизнеса  выявляют вредоносные скрипты на платежных сайтах благодаря технологии «безопасных платежей».
Источник
Batafsil | Подробно | Read more... InfoCOM