Hackers abusam do Google Analytics para roubar dados de cartão de crédito

Técnica descoberta pela Kaspersky utiliza contas oficiais do serviço do Google para ocultar ataques de web skimming contra lojas virtuais

7==QM1YzM4QmOt92YuwWah12ZAVHZl5SaoNXYrFGd6kTN0kDNzUzMxIjOnVGcq5ydvx2MxQzN3IjNxkTMGJTJxkTMGJTJxkDOxYkMlQTNwQTMf1SNx0yXt92YuIHct1SaGJTJGJTJBNTJwRHdopDN
Cibercriminosos estão usando contas oficiais do Google Analytics para rastrear e roubar informações de clientes que compram em lojas virtuais. A nova técnica descoberta por especialistas da Kaspersky já atingiu dezenas de e-commerce no mundo e permite que os hackers coletem dados confidenciais de usuários – como dados dos cartões de crédito – sem serem notados pelos administradores dos sites.

De acordo com a empresa de cibersegurança, para obter essas informações, os criminosos invadem o código-fonte das lojas virtuais e injetam nele um código de rastreamento. A partir dessa manobra, os dados inseridos pelos consumidores dos sites hackeados – como credenciais de serviços de pagamento ou números de cartão de crédito – são redirecionados para os invasores, que passam a ter acesso integral às informações confidenciais dos clientes. A tática, conhecida como web skimming , não é nova; porém, o que chamou a atenção neste caso foi a artimanha que os hackers encontraram para não serem percebidos.

Ao invés de usar sites falsos ou disfarçados – como normalmente acontece nessa modalidade de ataque -, os criminosos estão injetando inscrições geradas a partir de contas oficiais do Google Analytics. Funciona assim: ao se registrarem na ferramenta, eles configuram os parâmetros do seu perfil para receber um ID de rastreamento. Esse ID é então inserido no código-fonte do e-commerce invadido, juntamente com o código malicioso, e os dados roubados são encaminhados para contas verdadeiras do serviço de análises do Google. A manobra permite ocultar a ação dos hackers – ao examinar o código-fonte da página, o administrador não encontrará nenhuma conexão com domínios estranhos, mas apenas ligações com contas oficiais do Analytics, o que é uma prática comum nos sites de e-commerce.

Para dificultar ainda mais a detecção do golpe, os invasores também empregaram uma técnica comum de anti-debugging: se um administrador do site revisar o código-fonte usando o modo desenvolvedor, o código malicioso não será executado.

“Essa é uma técnica que nunca vimos antes e que é particularmente eficaz. O Google Analytics é um dos serviços de análise web mais populares do mercado. A grande maioria dos desenvolvedores e usuários confia nele, o que significa que o serviço é frequentemente autorizado pelos administradores para coletar dados de usuários. Isso faz com que o uso mal-intencionado dessa ferramenta se torne imperceptível e fácil de ignorar. Como regra, os administradores não devem assumir que, apenas porque o recurso de terceiros é legítimo, sua presença no código está correta”, comenta Victoria Vlasova, analista sênior de malware da Kaspersky .

A Kaspersky reportou o problema ao Google e a empresa confirmou que tem feito investimentos constantes para as detecções desses abusos.

Para mais informações sobre esta nova técnica de web skimming, acesse o post completo no Securelist.

Para o consumidor se proteger contra os web skimmers, os especialistas da Kaspersky recomendam:

• Utilizar uma solução de segurança confiável como o Kaspersky Security Cloud, que detecta e impede a execução de scripts maliciosos, além de permitir a desativação completa do Google Analytics por meio do recurso Safe Browser.