A Kaspersky Lab vírusírtó cég egy újfajta csalási technológiáról tett közzé cikket, ahol a kiberbűnözők a Google Analytics szolgáltatását használták fel az adatok ellopására. Ehhez persze kellett az is, hogy a megcélzott weboldalak súlyos biztonsági hiányosságokkal rendelkezzenek.

A felfedezés

A Kaspersky Lab a következőket tette közzé a felfedezéséről:

Számos esetet észleltünk, amikor ezt a szolgáltatást csaló módon használták. A bűnözők kártékony kódot szúrtak be a megtámadott oldalakba, melyek begyűjtötték a felhasználók által megadott adatokat, majd elküldték ezt a Google Analytics számára. Ennek hatására a tolvajok az adatokat a saját Analytics fiókjukban látták viszont, ahonnan már el tudták lopni.

A Kaspersky Lab kiemelte, hogy a módszer minden olyan információt el tudott emelni, amit a látogatók megadtak a sérült weboldalaknak, köztük hitelkártya adatokat és jelszavakat is:

A szkript mindent begyűjtött, amit megadtak az oldalakon, ide értve a látogatóról származó adatokat is, például IP címeket, felhasználói ágenst, időzónát stb. Az ellopott adatokat a Google Analytics Measurement Protocol segítségével titkosították és küldték tovább.

A csalás lényege

A csalás csak akkor működött, ha az adott oldal valamilyen oknál fogva sérülékeny volt, például támadható biztonsági hibával rendelkezett, ezen keresztül ugyanis bejuthattak a támadók. A Google Analytics alapvetően arra való, hogy a weboldal tulajdonosok statisztikát kapjanak, és jobban megértsék a látogatók viselkedését. Gyakran a különféle hirdetési kampányok eredményességét is ezzel mérik, mivel az Analytics kiváló követőkódokat állít elő a pontos azonosításhoz.

A hackerek viszont a saját Google Analytics kódjukat adták hozzá a megtámadott oldalak forráskódjához, melyet lefuttatva a saját fiókjukban láthatták viszont az ellopott információkat.

A weboldalak a biztonsági fejlécekkel védekeznek a hackerek ellen, ellehetetlenítve a szkript injektálást vagy az adatok ellopását. Az egyik ilyen fejléc a Content Secutiry Policy (CSP), mely azt mondja el a böngészőnek, hogy melyik weboldalak biztonságosak a szkriptek letöltésére. Ez teszi lehetetlenné a hacker számára, hogy miközben a látogató a weboldalt használja, a támadó egy másik oldalról töltsön be káros kódrészleteket.

A Google Analytics megbízható oldalnak számít a CSP szemében, ezért a fejléc nem lép fel a kódjai ellen. A hackerek pedig ezt a megbízhatóságot használták fel, amikor a saját Analytics kódjukat adták hozzá az oldalakhoz, és megkerülték a biztonsági protokollokat. A CSP fejlécnek jelenleg nincs semmilyen eszköze a hasonló csalások elhárítására.

A fentieket a támadók még azzal is megfejelték, hogy kódjukat elrejtették a böngésző fejlesztői módban történő használatakor. Gyakori, hogy az oldal tulajdonosok vagy a programozóik ebben az üzemmódban dolgoznak, ilyenkor pedig tüzetesen megnézik a forráskódot is. Hogy ne tűnjön fel nekik a támadás, a szkript ilyenkor hallgatott, és csak akkor futott, amikor valós látogatók keresték fel a weboldalt.