23 jun. 2020

Utilizan Google Analytics para robar tarjetas de crédito y hacer bypass de CSP

Delincuentes informáticos están usando los servidores de Google y Google Analytics para robar información de las tarjetas de crédito introducidas por los clientes de las tiendas online.

Esta semana se conoció un nuevo método para bypassear el CSP (Content Security Policy) usando la API de Google Analytics. El ataque ha estado siendo utilizado por delincuentes Magecart en decenas de sitios de compra online. Esta nueva táctica toma ventaja del hecho de que los sitios de compra online usan Google Analytics para rastrear a visitantes que estén permitiendo los dominios de Google Analytics en su configuración de CSP.

Una nueva investigación de Amir Shaked de las empresas de seguridad web Sansec y PerimeterX muestra que usando CSP para prevenir los ataques de robo de tarjetas de crédito es inútil en sitios que también hacen uso de Google Analytics ya que los actores pueden usarlo para exfiltrar los datos recolectados a su propia cuenta.
El 17 de junio de este año, PerimeterX encontró y demostró una vulnerabilidad fácil de reproducir en el núcleo de la funcionalidad de CSP cuando esta se usa para bloquear el robo de identidades, PII y datos de pago como las tarjetas de crédito.

En vez de bloquear los ataques mediante inyección, permitiendo a los scripts de Google Analytics beneficia a los atacantes ya que lo pueden utilizar para robar datos. Esto se realiza mediante un script de e-skimming que está especialmente diseñado para cifrar los datos robados y enviarlos a una cuenta de Google Analytics controlada por el atacante en un formulario cifrado.

Los atacantes solo tienen que hacer uso de su Tag ID para que sus scripts sean capaces de abusar de Google Analytics para enviar la información recolectada como las credenciales, los datos de la tarjeta de crédito y mucho más.

Reconocer y bloquear los scripts que se aprovechan de este fallo de seguridad requiere una solución de visibilidad avanzada que puedan detectar el acceso y exfiltración de los datos sensibles de los usuarios.

Mientras Shaked usó Google Analytics como ejemplo de los atacantes que usan hosts permitidos en CSP como puede ser en la mayoría de servicios de terceros en las configuraciones de CSP, y cualquier otro dominio que este permitido que pueda ser comprometido o provea de una administración mediante cuentas de usuario como lo hace GA y pueda ser usado de canal de exfiltración de información.

Basandonos en las estadísticas proporcionadas por BuiltWith, sobre unos 29 millones de sitios web están usando activamente los servicios de Google Analytics, junto con Baidu Analytics y Yandex Metrika siendo también usado por más de 7 millones y 2 millones, respectivamente.

Fuente: BC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!