Как работает веб-скимминг
Суть атаки сводится к тому, что злоумышленники внедряют в страницы чужого сайта вредоносный код. Как они это делают — отдельный вопрос. Иногда подбирают (или воруют) пароли к учетной записи администратора, иногда пользуются уязвимостями в системе управления контентом (CMS) или в одном из ее сторонних плагинов, иногда инжектируют через некорректно написанную форму ввода.
Внедренный код сохраняет все действия пользователя (включая, к примеру, вводимые им данные банковских карт) и передает собранную информацию хозяину. Так что в подавляющем большинстве случаев веб-скимминг — это один из видов межсайтового скриптинга .
Зачем злоумышленникам Google Analytics
Собрать данные в этой схеме — полдела. Их еще нужно отправить атакующему. А поскольку веб-скиммеры известны уже не первый год, с ними научились бороться. Один из механизмов борьбы называется Content Security Policy (CSP). Он реализован в виде технического хедера, в котором перечислены сервисы, имеющие право на сбор информации на конкретном сайте или странице. Если адреса злоумышленников там нет, то вывести собранную информацию не получится. Вот тут-то злоумышленникам и пришла в голову идея пользоваться сервисом Google Analytics.
Практически все сайты тщательно следят за статистикой посещения. Интернет-магазины делают это с вероятностью, близкой к стопроцентной. Сервис Google Analytics позволяет собирать множество параметров и сейчас используется примерно на 29 миллионах сайтов. Вероятность, что передача данных Google Analytics будет разрешена в CSP-заголовке интернет-магазина, крайне высока.
Все, что нужно для сбора статистики на сайте — настроить параметры отслеживания и вставить на страницы своего ресурса специальный код. С точки зрения сервиса, если вы можете вставить этот код на сайт — значит, являетесь легитимным представителем владельца этого ресурса. Вредоносный скрипт собирал данные посетителей, а затем, используя код отслеживания, которым его снабдил злоумышленник, отправлял их с помощью Google Analytics Measurement Protocol прямиком в личный кабинет атакующего. Подробности о механизме атаки и индикаторах компрометации ищите в блогпосте на сайте Securelist .
Что делать?
Основными жертвами этой схемы будут пользователи, которым приходится вводить платежные данные на сайтах. Но решать эту проблему нужно на стороне компаний, поддерживающих веб-страницы с платежными формами. Вот несколько советов, которые помогут исключить возможность утечки данных ваших пользователей через сайт:
Регулярно обновляйте используемое ПО, не забывая про веб (CMS и все ее плагины)
Не устанавливайте компоненты CMS из непроверенных источников.
Проводите строгую политику доступа к CMS: ограничивайте права пользователей до минимально необходимых и настаивайте на использовании надежных и уникальных паролей.
Периодически проводите аудит безопасности сайта с платежной формой.
Пользователям можно посоветовать лишь одно: использовать надежное защитное ПО. Наши решения и для домашних пользователей , и для малого бизнеса выявляют вредоносные скрипты на платежных сайтах благодаря технологии «безопасных платежей».
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
Foto: Koreya prezidenti Samarqandning tarixiy obidalarini tomosha qildi.
O‘zbekiston va Janubiy Koreya prezidentlari hamda ularning rafiqalari Registon ansambli, Amir Temur maqbarasi, Mirzo Ulug‘bek rasadxonasi,...
-
Teng sheriklik, savdo va migratsiya: O‘zbekiston–Koreya aloqalari haqida mutaxassislar bilan suhbat.
Koreya Respublikasi prezidenti Yun Sok Yol 3 kunlik davlat tashrifi bilan O‘zbekistonda bo‘ldi. Rasmiy Toshkent ikki ma’muriyat davrida ham Koreya...
-
100 yil oldin O‘zbekistonda Qurbon hayiti qanday nishonlangan? Arxiv suratlar.
Arxivlarda o‘zbekistonliklar o‘tgan asrda Qurbon hayitini qanday nishonlaganiga oid fotolar, juda kam bo‘lsa-da, saqlanib qolgan. Asosiy tarixiy...
-
Mirziyoyev Qurbon hayiti arafasida Imom Buxoriy maqbarasini ziyorat qildi.
Shu bilan prezidentning Samarqandga tashrifi yakunlandi, davlat rahbari Toshkentga jo‘nab ketdi..
-
KXDR Janubiy Koreya bilan chegarada himoya devori qurishni boshladi - OAV.
Hozircha Shimoliy Koreyaning maqsadi noaniqligicha qolmoqda, devorning qanchalik baland yoki kengligi ham ma’lum emas..
-
Евро-2024'да илк бор бош мураббий огоҳлантириш олди
Европа чемпионатининг шанба куни бўлиб ўтган биринчи учрашуви якунига етди.