Detectados ataques de web skimming utilizando Google Analytics

Los investigadores de Kaspersky han descubierto una nueva técnica para robar información de pago de los usuarios en sitios web de compras online, un tipo de ataque conocido como web skimming.

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Web skimming es una práctica popular utilizada por los atacantes para robar los datos de la tarjeta de crédito de los usuarios de las páginas de pago de las tiendas online, por la que los atacantes inyectan fragmentos de código en el código fuente del sitio web. Este código malicioso recopila los datos facilitados por los visitantes al sitio (inicios de sesión de cuentas de pago o números de tarjetas de crédito) y envía los datos recolectados a la dirección especificada por los atacantes en el código malicioso. A menudo, para ocultar el hecho de que la página web se ha visto comprometida, los atacantes registran dominios con nombres que se parecen a servicios de análisis web populares, como Google Analytics. De esa manera, cuando inyectan el código malicioso, es más difícil para el administrador del sitio saber que el sitio ha sido comprometido. Por ejemplo, un sitio llamado "googlc-analytics [.] Com" es fácil de confundir como un dominio legítimo.

Sin embargo, los investigadores de Kaspersky han descubierto una técnica previamente desconocida para realizar ataques de web skimming. En lugar de redirigir los datos a fuentes de terceros, los redirigieron a cuentas oficiales de Google Analytics. Una vez que los atacantes registraron sus cuentas en Google Analytics, todo lo que tuvieron que hacer fue configurar los parámetros de seguimiento de las cuentas para recibir una identificación de seguimiento. Luego inyectaron el código malicioso junto con la identificación de seguimiento en el código fuente de la página web, lo que les permitió recopilar datos sobre los visitantes y enviarlos directamente a sus cuentas de Google Analytics.

Debido a que los datos no se dirigen a un recurso desconocido de terceros, es difícil para los administradores darse cuenta de que el sitio ha sido comprometido. Para aquellos que examinan el código fuente, parece que la página está conectada con una cuenta oficial de Google Analytics, una práctica común para las tiendas online. Para hacer que la actividad maliciosa sea aún más difícil de detectar, los atacantes también emplearon una técnica común contra la depuración: si un administrador del sitio revisa el código fuente de la página web usando el modo Desarrollador, el código malicioso no se ejecuta.

Se descubrió que cerca de dos docenas de sitios web habían sido comprometidos de esta manera, incluyendo tiendas online en Europa, América del Norte y del Sur.

“Esta es una técnica que no hemos visto antes, y que es particularmente efectiva. Google Analytics es uno de los servicios de análisis web más populares que existen. La gran mayoría de los desarrolladores y usuarios confían en él, lo que significa que con frecuencia los administradores del sitio les dan permiso para recopilar datos de los usuarios. Eso hace que las inyecciones maliciosas que contienen cuentas de Google Analytics sean discretas y fáciles de pasar por alto. Como regla general, los administradores no deben asumir que, solo porque el recurso de terceros es legítimo, su presencia en el código está bien”, comenta Victoria Vlasova, analista senior de malware en Kaspersky.