Kaspersky pētnieki tiešsaistes iepirkšanās vietnēs ir konstatējuši jaunu tā dēvētā tīmekļa datsmelšanas veida lietotāju maksājumu informācijas zagšanas paņēmienu. Uzbrucēji var ievākt lietotāju kredītkaršu datus, reģistrējot Google Analytics kontus un šo kontu izsekošanas kodu iespraužot vietnes pirmkodā. Ar šo paņēmienu tika uzlauzti aptuveni divi desmiti tiešsaistes veikalu visā pasaulē.
Tīmekļa datsmelšana ir populāra prakse, ko uzbrucēji izmanto, lai no internetveikalu maksājumu lapām zagtu lietotāju kredītkaršu datus, iespraužot koda daļas vietnes pirmkodā. Pēc tam šis ļaunprātīgais kods ievāc vietnes apmeklētāju ievadītos datus (tas ir, maksājumu kontu pieteikumdatus vai kredītkaršu numurus) un nosūta savāktos datus uz adresi, kuru uzbrucēji norādījuši ļaunprātīgajā kodā. Bieži vien, lai noslēptu, ka tīmekļa lapa ir uzlauzta, uzbrucēji reģistrē domēnus ar nosaukumiem, kas atgādina populārus tīmekļa analīzes pakalpojumus, piemēram, Google Analytics. Tādējādi, kad tiek iesprausts ļaunprātīgais kods, vietnes administratoram ir grūtāk pazīt, ka vietne ir uzlauzta. Piemēram, vietni ar nosaukumu googlc-analytics[.]com var viegli sajaukt ar īsto domēnu.
Taču nesen Kaspersky pētnieki ievēroja agrāk nepamanītu tīmekļa datsmelšanas uzbrukumu izpildes paņēmienu. Uzbrucēji novirzīja datus nevis uz trešu pušu avotiem, bet gan uz oficiāliem Google Analytics kontiem. Kad uzbrucēji bija reģistrējuši kontus Google Analytics, viņiem atlika tikai konfigurēt kontu izsekošanas parametrus, lai saņemtu izsekošanas identifikatoru. Pēc tam viņi tīmekļa lapas pirmkodā kopā ar izsekošanas identifikatoru iesprauda ļaunprātīgo kodu, kas ļāva ievākt datus par apmeklētājiem un nosūtīt tieši uz viņu Google Analytics kontiem.
Tā kā dati netiek novirzīti uz nezināmu trešas puses resursu, administratoriem ir grūti saprast, ka vietne ir uzlauzta. Tiem, kas pārbauda pirmkodu, izskatās, ka lapa ir saistīta ar oficiālu Google Analytics kontu, kas ir parasta internetveikalu prakse.
Lai ļaunprātīgo darbību padarītu vēl grūtāk pamanāmu, uzbrucēji izmantoja arī izplatītu pretatkļūdošanas paņēmienu: ja vietnes administrators pārskata tīmekļa lapas pirmkodu izstrādātāja režīmā, tad ļaunprātīgais kods netiek izpildīts.
Tika konstatēts, ka šādi ir uzlauztas aptuveni divdesmit vietnes, tostarp veikali Eiropā, Ziemeļamerikā un Dienvidamerikā.
„Šo sevišķi efektīvo paņēmienu iepriekš neesam novērojuši. „Google Analytics” ir viens no vispopulārākajiem tīmekļa analīzes pakalpojumiem. Lielākā daļa izstrādātāju un lietotāju tam uzticas — tas nozīmē, ka vietņu administratori tam bieži dod atļauju ievākt lietotāju datus. Tas padara ļaunprātīgos iespraudumus, kas ietver „Google Analytics” kontus, neuzkrītošus un grūti pamanāmus. Pēc noteikumiem administratoriem nevajadzētu pieņemt, ka tikai tāpēc, ka trešas puses resurss ir likumīgs, tā klātbūtne kodā ir pareiza,” komentē Kaspersky vadītājs Baltijā Andis Šteinmanis.
Par šo jauno tīmekļa datsmelšanas paņēmienu vairāk lasiet vietnē Securelist.
Lai aizsargātos no tīmekļa datsmelšanas, Kaspersky eksperti iesaka:
izmantojiet spēcīgu drošības risinājumu, piemēram, Kaspersky Internet Security.
Par Kaspersky
Kaspersky ir starptautisks kiberdrošības uzņēmums, kas dibināts 1997. gadā. Kaspersky dziļā draudu pazīšana un drošības zināšanas nepārtraukti pārtop inovatīvos drošības risinājumos un pakalpojumos, lai aizsargātu uzņēmumus, izšķirīgi svarīgas infrastruktūras, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības klāstā ietilpst labākā galiekārtu aizsardzība un vairāki specializēti drošības risinājumi un pakalpojumi cīņai ar sarežģītiem un mainīgiem digitālajiem apdraudējumiem. Vairāk nekā 400 miljonu lietotāju ir aizsargāti ar Kaspersky tehnoloģijām, un mēs palīdzam 250 tūkstošiem korporatīvo klientu aizsargāt to, kas viņiem ir vissvarīgākais. Uzziniet vairāk vietnē www.kaspersky.com.
