Web skimming: quando anche Google Analytics diventa un pericolo
Il web skimming, un metodo abbastanza comune per ottenere i dati dei titolari delle carte di credito che visitano negozi online, è una pratica criminale informatica ormai consolidata. Tuttavia, di recente gli esperti di Kaspersky hanno scoperto una novità piuttosto pericolosa che prevede l’uso di Google Analytics per estrarre i dati rubati.
Web skimming: come funziona
L’idea di base del web skimming è che i cybercriminali inseriscono un codice dannoso nelle pagine del sito web scelto come obiettivo. Come lo fanno è una questione a parte. A volte rubano la password di un account amministratore (mediante attacchi di forza bruta), altre sfruttano le vulnerabilità del Content Management System (CMS) o di uno dei plugin di terze parti e altre ancora iniettano il codice dannoso attraverso un modulo codificato in modo errato.
Il codice iniettato registra le azioni dell’utente (inclusi i dati della carta di credito digitati) e trasferisce il tutto al suo proprietario (ovvero ai cybercriminali). Quindi, nella stragrande maggioranza dei casi, il web skimming è un tipo di cross-site scripting.
Perché Google Analytics?
La raccolta dei dati è solo la metà del lavoro. Il malware dovrà inviare le informazioni raccolte ai cybercriminali. Poiché il web skimming è in circolazione da anni, sono stati sviluppati meccanismi per combatterlo. Un metodo prevede l’utilizzo di una Content Security Policy (CSP), un header tecnico che elenca tutti i servizi che hanno il permesso di raccogliere informazioni su un particolare sito o pagina. Se il servizio utilizzato dai criminali informatici non è presente nell’header, gli hacker non saranno in grado di ritirare le informazioni raccolte. Alla luce di tali misure di protezione, alcuni cybercriminali hanno avuto l’idea di utilizzare Google Analytics.
A giorno d’oggi, quasi tutti i siti web monitorano attentamente le statistiche dei visitatori. I negozi online lo fanno sistematicamente. Lo strumento più comodo per questo scopo è Google Analytics. Il servizio consente la raccolta di dati sulla base di molti parametri e attualmente circa 29 milioni di siti lo utilizzano. La probabilità che il trasferimento dei dati a Google Analytics sia consentito nell’header CSP di un negozio online è estremamente elevata.
Per raccogliere le statistiche del sito web, non bisogna fare altro che configurare i parametri di tracking e aggiungere tale codice alle vostre pagine. Per quanto riguarda il servizio, se siete in grado di aggiungere questo codice, siete i legittimi proprietari del sito. Lo script dannoso dei cybercriminali raccoglie i dati degli utenti e poi, utilizzando il proprio codice di tracking, li invia attraverso Google Analytics, direttamente all’account dei cybercriminali. Qui troverete maggiori dettagli sul meccanismo di attacco e sugli indicatori di compromissione.
Cosa fare?
Le principali vittime del sistema sono gli utenti che inseriscono online i dati della carta di credito. Nella maggior parte dei casi, il problema deve essere affrontato dalle aziende che supportano i siti web con dei moduli di pagamento. Per evitare la fuga di dati degli utenti dal vostro sito, Kaspersky consiglia di:
- Aggiornare regolarmente tutti i software, comprese le applicazioni web (il CMS e tutti i suoi plugin)
- Installare componenti CMS solo da fonti affidabili
- Adottare una rigorosa politica di accesso al CMS che limita i diritti degli utenti allo stretto indispensabile e impone l’uso di password forti e uniche
- Condurre controlli periodici di sicurezza del sito su cui è presente il modulo di pagamento