Secondo Kaspersky i cybercriminali hanno trovato un nuovo modo per rubare i dati di pagamento dei consumatori digitali utilizzando un popolare servizio di web analytics.
I ricercatori di Kaspersky hanno scoperto una nuova tecnica per rubare informazioni di pagamento degli utenti dai siti dedicati allo shopping online, un tipo di attacco noto come “web skimming”. Registrandosi agli account di Google Analytics e procedendo con il “code injection”, ovvero con l’aggiunta del codice di tracciamento di questi account all’interno del codice sorgente del sito, gli aggressori sono in grado di raccogliere i dati delle carte di credito degli utenti. Più di venti negozi online in tutto il mondo sono stati compromessi utilizzando questo metodo.
Attenzione al web skimming
Il web skimming è una tecnica popolare utilizzata dai cybercriminali per rubare i dati delle carte di credito degli utenti dalle pagine di pagamento degli store online: consiste nel “code injection”, l’aggiunta di pezzi di codice nel codice sorgente del sito web. Questo codice malevolo è in grado di raccogliere i dati inseriti dai visitatori del sito (ad esempio le credenziali di login usate dal conto per il pagamento o i numeri della carta di credito) e di inviare quegli stessi dati all’indirizzo indicato dagli attaccanti proprio all’interno nel codice malevolo. Spesso, per nascondere il fatto che la pagina web è stata compromessa, i cybercriminali registrano domini con nomi che assomigliano a quelli di servizi di web analytics molto popolari, come Google Analytics ad esempio. In questo modo, quando procedono con l’injection del codice malevolo, è più difficile per il web administrator sapere che il sito è stato compromesso. Un sito denominato “googlc-analytics[.]com”, per esempio, è facile da confondere con un dominio legittimo.
Di recente i ricercatori Kaspersky hanno scoperto anche una tecnica finora sconosciuta per condurre attacchi di tipo “web skimming”. Invece che reindirizzare i dati verso fonti di terze parti, i cybercriminali hanno elaborato un sistema per reindirizzarli verso account ufficiali di Google Analytics. Dopo aver registrato i loro account sul servizio di web analytics fornito da Google, ai criminali informatici è bastato configurare i parametri di tracciamento degli account stessi per ricevere un ID di tracciamento. Hanno poi fatto l’injection del codice malevolo insieme al tracking ID nel codice sorgente della pagina web, trovando quindi il modo di raccogliere i dati dei visitatori e di inviarli direttamente ai loro account Google Analytics.
Poiché i dati non sono reindirizzati verso una risorsa sconosciuta di terze parti, per gli amministratori dei siti web è più difficile rendersi conto che il sito è stato compromesso. A chi esamina il codice sorgente, infatti, sembra che la pagina sia collegata ad un account ufficiale di Google Analytics, una pratica piuttosto comune per i negozi online.
Per rendere l’attività malevola ancora più difficile da individuare, i cybercriminali hanno impiegato anche una tecnica comune, quella dell’“anti-debugging”: se un amministratore del sito esamina il codice sorgente della pagina web utilizzando la modalità Sviluppatore, il codice malevolo non viene eseguito.
Più di venti siti web sono stati compromessi grazie all’uso di questo metodo, tra questi anche negozi online in Europa, nel Nord e nel Sud America.
“Questa è una tecnica che non abbiamo mai analizzato prima e che si è rivelata particolarmente efficace. Google Analytics è uno dei servizi di web analytics più popolari sul mercato. La stragrande maggioranza degli sviluppatori e degli utenti si fida di questo servizio, tanto che spesso gli amministratori dei siti danno a Google Analytics il permesso di raccogliere i dati degli utenti. Questa tecnica fa sì che gli oggetti malevoli contenenti negli account di Google Analytics siano poco visibili e facili da ignorare. Gli amministratori dei siti web, di norma, non dovrebbero considerare accettabile la presenza all’interno del proprio codice di una risorsa di terze parti solo perché questa risulta apparentemente legittima”, ha commentato Victoria Vlasova, Senior Malware Analyst di Kaspersky.
Kaspersky ha notificato il problema a Google, che ha confermato di essere impegnata costantemente nello sviluppo di tecnologie di rilevamento dello spam.
Maggiori informazioni su questa nuova tecnica di “web skimming” sono disponibili online su Securelist.
LEGGI ANCHE – l’85% degli utenti italiani crea le proprie password e quasi la metà non sa come verificare se sono state violate
Per evitare i pericoli legati al “web skimming” ed essere protetti online, gli esperti di Kaspersky consigliano agli utenti di:
- Utilizzare una soluzione di sicurezza affidabile come Kaspersky Security Cloud che è in grado di rilevare e bloccare l’esecuzione di script malevoli o di disattivare completamente Google Analytics utilizzando la funzione Safe Browser.