Los piratas informáticos están abusando de Google Analytics para poder desviar de manera más encubierta los datos de tarjetas de crédito robadas de los sitios de comercio electrónico infectados, informaron investigadores el lunes.
El robo de tarjetas de pago solía referirse únicamente a la práctica de infectar máquinas de punto de venta en tiendas físicas. El malware extraería números de tarjetas de crédito y otros datos. Los atacantes luego usarían o venderían la información robada para que pudiera usarse en fraudes con tarjetas de pago.
Más recientemente, este tipo de ataques se han expandido para usarse contra sitios de comercio electrónico después de que los piratas informáticos los hayan comprometido. Los piratas informáticos utilizan el control que obtienen para instalar un código no autorizado que se ejecuta en el interior del sistema de back-end que recibe y procesa los datos de la tarjeta de pago durante una transacción en línea. El código malicioso luego copia los datos.
Bajo el radar
Un desafío para llevar a cabo el hackeo es eludir las políticas de seguridad del sitio web u ocultar la filtración de cantidades masivas de datos confidenciales de las aplicaciones de seguridad de punto final instaladas en la red infectada. Investigadores de Kaspersky Lab dijeron el lunes que recientemente observaron alrededor de dos docenas de sitios infectados que encontraron una forma novedosa de lograr esto. En lugar de enviarlo a servidores controlados por atacantes, los atacantes lo envían a las cuentas de Google Analytics que controlan. Dado que el servicio de Google se usa tanto, las políticas de seguridad del sitio de comercio electrónico generalmente confían plenamente en él para recibir datos.
“Google Analytics es un servicio extremadamente popular (utilizado en más de 29 millones de sitios, según BuiltWith) y los usuarios confían ciegamente en él”, escribió aquí la investigadora de Kaspersky Lab, Victoria Vlasova. “Los administradores escriben *.google-analytics.com en el encabezado Content-Security-Policy (que se usa para enumerar los recursos desde los que se puede descargar el código de terceros), lo que permite que el servicio recopile datos. Además, el ataque se puede implementar sin descargar código de fuentes externas”.
El investigador agregó: “Para recopilar datos sobre los visitantes que usan Google Analytics, el propietario del sitio debe configurar los parámetros de seguimiento en su cuenta en analytics.google.com, obtener el ID de seguimiento (trackingId, una cadena como esta: UA-XXXX-Y) e insértelo en las páginas web junto con el código de seguimiento (un fragmento de código especial). Varios códigos de seguimiento pueden coexistir en un sitio, enviando datos sobre los visitantes a diferentes cuentas de Analytics”.
El «UA-XXXX-Y» se refiere a la identificación de seguimiento que utiliza Google Analytics para diferenciar una cuenta de otra. Como se demuestra en la siguiente captura de pantalla, que muestra un código malicioso en un sitio infectado, las identificaciones (subrayadas) pueden mezclarse fácilmente con el código legítimo.
En un comunicado emitido varias horas después de la publicación de esta publicación, un portavoz de Google escribió: “Recientemente se nos notificó sobre esta actividad e inmediatamente suspendimos las cuentas infractoras por violar nuestros términos de servicio. Cuando detectamos un uso no autorizado de Google Analytics, tomamos medidas”.
Los atacantes usan otras técnicas para permanecer sigilosos. En algunos casos, el desvío de datos se cancela si la persona que ingresa los datos de la tarjeta de pago tiene activado el modo de desarrollador de su navegador. Debido a que los investigadores de seguridad a menudo usaban el modo de desarrollador para detectar tales ataques, los piratas informáticos renuncian al robo de datos en estos casos. En otros casos, los atacantes usan métodos de depuración de programas para ocultar la actividad maliciosa.
El robo de tarjetas de pago en sitios web ha seguido siendo un problema, especialmente para las personas que compran con comerciantes en línea más pequeños que no prestan suficiente atención a la seguridad de sus sistemas. Hay algunas excepciones notables, pero generalmente los sitios más grandes son menos propensos a este tipo de ataques.
En la mayoría de los casos, si no en todos, es imposible que los usuarios finales detecten el robo de tarjetas de crédito a simple vista. Sin embargo, la mayoría de los productos antivirus detectarán todos o la mayoría de estos ataques. Hacer compras en línea con el modo desarrollador activado no hace daño y puede ayudar en muchos casos. Aparte de eso, la mejor defensa es examinar periódicamente y con cuidado las declaraciones en busca de compras y cargos no autorizados.
Actualizado para agregar comentarios de Google
