Posté le juin 24, 2020 à 18:18
DES HACKERS VOLENT LES DONNÉES DES CARTES DE CRÉDIT EN UTILISANT GOOGLE ANALYTICS
Un rapport récent révèle que des hackers utilisent Google Analytics et la plateforme du serveur de Google pour voler les informations de carte de crédit des clients qui ont soumis des informations dans les magasins en ligne.
Les hackers utilisent l’API de Google Analytics pour contourner la politique de sécurité du contenu (CSP), comme cela a déjà été le cas lors des attaques Magecart en cours. L’activité de piratage a été conçue pour voler les données des cartes de crédit de dizaines de sites e-commerce.
Sur la base de rapports indépendants provenant de sources telles que Sansec, Kaspersky et PerimeterX, les hackers implantent maintenant des codes de vol de données sur les sites web infectés, ainsi que des codes de suivi générés par Google Analytics. Il permet à des hackers de voler l’information de paiement écrite par les utilisateurs, même si la CSP est pleinement renforcé.
Les « attaquants ont injecté le code malveillant dans les emplacements, qui ont rassemblé toutes données saisies par des utilisateurs et les ont puis envoyées par l’intermédiaire d’Analytics, » Kaspersky rapporté hier.
La société de cybersécurité a également souligné que les hackers peuvent avoir accès aux données volées dans leurs comptes Google Analytics.
Contourner la politique de sécurité des contenus
La méthode de piratage profite du fait que les sites e-commerce qui utilisent le service Google Analytics sont mis sur la liste blanche des domaines de Google Analytics.
Selon les sociétés de sécurité PerimeterX et Sansec, c’est une perte de temps d’utiliser la CSP pour prévenir les attaques de piratage par carte de crédit sur les sites qui utilisent Google Analytics. En effet, les acteurs de la menace peuvent facilement récolter des données sur leurs comptes.
PerimeterX a découvert qu’il y a une fonctionnalité de base dans CSP qui sera facile à exploiter par les hackers lorsqu’elle est utilisée pour bloquer le vol de cartes de crédit ou de justificatifs.
Le CSP est une mesure de sécurité supplémentaire utilisée pour détecter et atténuer les menaces provenant des vulnérabilités des scripts inter-sites. Il est également utilisé pour prévenir les attaques d’autres types d’attaques par injection de code.
Le protocole de sécurité donne aux propriétaires de sites la possibilité de définir des niveaux et des points interactifs précis entre le navigateur web et une URL spécifique, ce qui vise à empêcher l’exécution de code non fiable.
Selon la société de sécurité PerimeterX, le principal problème est le fait que le système de règles sur la CSP n’est pas assez fort. Par conséquent, pour trouver et arrêter la requête JavaScript malveillante, il faut des solutions de visibilité avancées. Le système de visibilité peut facilement découvrir et exfiltrer les données sensibles de l’utilisateur, telles que l’identifiant de messagerie et le mot de passe de l’utilisateur.
La collecte de données à l’aide de cette méthode nécessite un petit morceau de code JavaScript qui transmet les détails recueillis tels que les informations de paiement et les références.
Il examine également d’autres domaines que Google Analytics utilise exclusivement pour identifier différentes actions sur le site. Kaspersky a noté qu’une autre chose intéressante est le fait que les acteurs peuvent mettre en œuvre l’attaque sans télécharger de code source externe.
Pour que l’attaque reste plus discrète, les acteurs découvrent également si le mode développeur a été activé sur le navigateur du visiteur. S’il n’est pas activé, le hacker passera alors à son prochain point d’action. Le mode développeur est une fonctionnalité souvent utilisée pour repérer les erreurs de sécurité et les requêtes réseau. C’est une fonction importante qui protège le réseau contre toute exploitation.
Moyens de prévenir le vol de données
Dans un autre rapport, la société de sécurité Sansec a expliqué qu’il existe une campagne de piratage similaire qui a livré des codes malveillants à différents magasins en utilisant du code JavaScript hébergé sur la base de données Google Firebase. La société de sécurité a déclaré avoir découvert l’utilisateur du nouveau logiciel malveillant le 17 mars.
Pour dissimuler encore davantage les actions de piratage, le hacker a mis en place une iFrame temporaire pour stocker un compte Google Analytics contrôlé par l’attaquant. Ensuite, les détails des données de la carte de crédit sont cryptés et transmis à la console d’Analytics. De là, la clé de cryptage est utilisée pour récupérer les données.
Avec l’utilisation courante de Google Analytics dans les attaques, des mesures comme le CPS ne seront pas efficaces si les acteurs volent des informations sensibles en profitant d’un domaine déjà autorisé.
La seule solution viable serait d’utiliser des URL adaptatives ou d’inclure l’ID dans le sous-domaine. Cela permettra aux administrateurs d’établir des règles de CSP qui empêchent l’exfiltration de données vers d’autres comptes, a conclu Sansec.
