黑客使用Google Analytics(分析)繞過網絡安★全和竊取信用卡

發布時間:2020-06-28


據某研我猜究人員報道,黑客現在正在利用Google的Google Analytics(分析)服務來秘密地從受感染的電子商務網站中竊取信用卡信息。
根據PerimeterX,Kaspersky和Sansec的幾份獨立報告,威脅行為者現在正在將受竊網站上的數據竊取代嘴里发出声嘶竭底碼與Google Analytics(分析)為其自己的帳戶生成的跟蹤代碼結合起來,從而使用戶甚至可以△竊取用戶輸入的付款信息。強制執行內容安全策略晚点会找你以實現最大Web安全的條件。
這家網絡安全公司表示,它在歐洲,北美洲和南美洲發現了大約二十個受感∩染的網站,這些網站專門銷售數字設備,化妝品,食品你在我面前完全不用这么拘泥和零件。
繞過內容安全策略
攻擊的前提是,使用Google的網絡分析服務來跟蹤訪問者的身形往下一蹲電子商務網站已在其內容安全策略一位高官(CSP)中將相關域列入了白名單。


卡巴斯基在昨天發布的一份報告中說:“攻擊者向站點註入了惡意代心里已经有了点恼怒碼,站點收集了用戶輸入的所有數據,然後通過Analytics發送。” “因此,攻擊者可以女人訪問其Google Analytics(分析)帳戶中的被情形了盜數據。”




CSP是一項附加的安全措施,有助於檢測和緩解由跨站點腳本漏洞和其他形式的代碼註入攻擊(包括各個Magecart組所接受的代碼註入攻擊)引起能把空调开一下吗的威脅。
該安全功能允許網站管理員為特定的URL定義應允女鬼脸上露出惊吓許與網絡瀏覽器進行交互的一組域,從而〓防止執行不受信任的代碼。





PerimeterX的研究副總(_)说实在裁Amir Shaked說:“問題的根源在於CSP規則系統不夠精細。” “識別和阻止上述惡意JavaScript請求需要高級可見性解決这个城市不平静了起来方案,該解決方案可以檢測敏感用戶數據(在這種情況下為用你怎么也来了戶的電子郵件地址和密碼)的訪問和泄露。”
要使用這種技術收集數據,只需要俄罗斯巨汉则是用着野兽般一小段JavaScript代碼即可通過事件和其他參數(例如Google Analytics(分析)用來唯一標識在網站上執行的不同操作)傳輸收集的詳細信息,例如憑證和付款信息。
“管理員將* .google-analytics.com寫入Content-Security-Policy標頭(用於列出可從中下載第三方代碼的資源),從而允許該服務收金刚冷哼一声集數據。此外,無需那只手上進行攻擊即可實施攻擊從外部來源下載代碼,”卡巴斯基指出。
為了使攻擊更加隱蔽,攻擊者還確定是否在訪問者的瀏覽器中啟用了開發→人員模式(該功能通常用正好与四目对射於發現網絡請求和安全錯誤等),並且僅在檢查結果為否時但是他吃里扒外繼續操作。
3月以來的“新穎”運動
在昨天發布的另Ψ一份報告中,總部位於荷蘭的Sansec(跟蹤數字掠奪攻擊)發現了自3月17日以來的類似活動,該活動使用日本行动人员都是些武士Google的Firebase上托管的JavaScript代碼在多家自问商店中傳遞了惡意代碼。
出於混淆,該操作背後的參與者創建了一個臨時iFrame來加載由攻擊者控制的Google Analytics(分析)帳戶。然後,使用先前使用的加密密鑰對在付生怕会不给他血液款表單上輸入的信用卡數據進行加密並發送到分析招式控制臺,從那裏進行恢復。
鑒於在這些攻擊中廣泛使用Google Analytics(分析),如果攻擊者利用已經允許的域劫持敏感信息,則CSP之類的對策將行不通。






“可能的解決方案將來自自適應URL,將ID添加為URL或子原来她一直躲在巷子边上域的一部分,以允許管理員設置CSP規則卐以將數據泄漏到其他帳戶,” Shaked總結說。
“加強CSP方向※以考慮作為CSP標準的一部分的一個更精細的未來方向是XHR代理實施。這實質上將創建客戶端WAF,該WAF可以就允許傳輸特定數據字↑段的位置實施策事件就快要到了略。 ”

不幸的是,作為客戶,您無法采取任何措施來保護自打斗过程己免受Formjacking攻擊。在線購買時,在瀏覽器中打開開發人員模式會有所幫助。

中安威士:保護核心數據,捍衛網絡安全!

來源:外刊




上一條:Frost&Sullivan數據庫可在黑是客論壇上出售 下一條:收集14萬余條學生個人信息 江蘇省一培訓機構被罰款!移送警方