通过注册Google Analytics(分析)账户,将这些账户的“跟踪代码”注入到网站的源代码中,攻击者就能够收集用户的信用卡详情。全球大约有二十多家在线商店遭到这种手段的攻击。
网页浏览盗窃是攻击者经常使用的一种攻击手段,攻击者在网站的源代码中注入恶意代码, 从在线商店的支付页面窃取用户的信用卡信息。之后,这些恶意代码会收集网站访问者输入的数据(即支付账户登录信息或信用卡卡号),并将收集到的数据发送到攻击者在恶意代码中指定的地址。通常,为了隐藏网站被恶意注入的事实,攻击者会用与常用的网络分析服务(如Google Analytics)相似的名称注册域名。这样,当他们注入恶意代码时,网站管理员很难察觉到网站已经被入侵。例如,“googlc-analytics[.]com ”的网站很容易被误认为是合法的域名。
但是最近,卡巴斯基研究人员发现了一种之前未知的进行网页浏览盗窃的技术。攻击者会将用户中定向到官方的Google 分析账户,而不是将数据重定向到第三发来源。一旦攻击者在Google 分析上注册了自己的账户,他们所要做的就是配置账户的追踪参数以接收追踪ID。然后,他们将恶意代码与追踪ID一起注入网页的源代码中,使他们能够收集访问者的数据,并将收集到的数据直接发送到他们的Google 分析账户中。
由于数据被发送到的地方不是未知的第三发资源,所以管理员很难意识到网站已经被入侵了。对于检查源代码的人来说,看起来好像页面与官方的Google 分析账户相连——这是在线商店的常见做法。
为了让恶意行为更难被发现,攻击者还使用了一种常见的反调试技术:如果网站管理员使用开发者模式来检查网页源代码,恶意代码就不会执行。
大约有二十多个网站被发现以这种方式被入侵,其中包括欧洲和北美和南美的在线商店。
“这是一种我们之前并未见过的技术,而且该技术还非常有效。Google分析是最受欢迎的网页分析服务之一。大多数开发者和用户都信任该服务,这意味着它经常被网站管理员授予收集用户数据的权限。这使得包含Google 分析账户的恶意注入不明显,并且容易被忽视。通常,管理员不应当仅仅认为某个第三方来源是合法的,就认为它出现在代码中是正常的,”卡巴斯基高级恶意软件分析师 Victoria Vlasova 评论说。
卡巴斯基已将此问题告知Google,他们确认在垃圾信息和服务滥用检测方面加大投入。
更多有关这种网页浏览盗窃技术的详情,请访问Securelist.
要远离网页浏览盗窃,确保自身安全,卡巴斯基专家建议:
- 使用一款可靠的安全解决方案(例如卡巴斯基安全云),这类解决方案能够检测并阻止恶意脚本的运行,或者使用安全浏览器功能完全禁用Google 分析。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
