jueves, 25 de junio de 2020

El uso de Google Analytics para robar tarjetas de crédito



     Los ciber-delincuentes están aprovechándose de los servidores de Google y Google Analytics para robar información de tarjetas de crédito introducidas por los usuarios en tiendas online.

Esta semana se ha conocido un nuevo método para bypassear el CSP (Content Security Policy) usando la API de Google Analytics. Este ataque se ha utilizado por delincuentes Magecart en decenas de sitios de compra online. Esta nueva táctica toma ventaja del hecho de que los sitios de compra online usan Google Analytics para rastrear a visitantes que estén permitiendo los dominios de Google Analytics en su configuración de CSP.

Una nueva investigación de las empresas de seguridad web Sansec y PerimeterX muestra que usando CSP para prevenir los ataques de robo de tarjetas de crédito es inútil en sitios que también hacen uso de Google Analytics ya que los actores pueden usarlo para exfiltrar los datos recolectados a su propia cuenta.
En junio de este año, PerimeterX encontró una vulnerabilidad y demostró que se usa para bloquear el robo de identidades, PII y datos de pago como las tarjetas de crédito.

Google Analytics beneficia a los atacantes ya que lo pueden utilizar para robar datos. Esto se realiza mediante un script de e-skimming que está especialmente diseñado para cifrar los datos robados y enviarlos a una cuenta de Google Analytics controlada por el atacante en un formulario cifrado. Los atacantes solo tienen que hacer uso de su Tag ID para que sus scripts sean capaces de abusar de Google Analytics para enviar la información recolectada como las credenciales, los datos de la tarjeta de crédito y mucho más.

Reconocer y bloquear los scripts que se aprovechan de este fallo de seguridad requiere una solución de visibilidad avanzada que puedan detectar el acceso y exfiltración de los datos sensibles de los usuarios. Mientras Shaked usó Google Analytics como ejemplo de los atacantes que usan hosts permitidos en CSP como puede ser en la mayoría de servicios de terceros en las configuraciones de CSP, y cualquier otro dominio que este permitido que pueda ser comprometido o provea de una administración mediante cuentas de usuario como lo hace GA y pueda ser usado de canal de exfiltración.

No hay comentarios:

Publicar un comentario