Google Analytics como canal de exfiltración de datos

Nuestros expertos han descubierto una estrategia de ataque para extraer los datos del titular de la tarjeta utilizando las herramientas de Google.

El web skimming, un método bastante común para obtener datos sobre los titulares de las tarjetas de los visitantes de las tiendas online, es una práctica tradicional de los ciberdelincuentes. Sin embargo, recientemente, nuestros expertos han descubierto una innovación bastante peligrosa que implica el uso de Google Analytics para extraer datos robados. A continuación, profundizaremos en el tema y mostraremos por qué es peligroso y cómo lidiar ello.

Cómo funciona el web skimming

Los atacantes inyectan código malicioso en las páginas del sitio web objetivo. ¿Cómo lo hacen? A veces utilizan la fuerza bruta (o roban) para conseguir la contraseña de una cuenta de administrador; otras explotan vulnerabilidades en el sistema de gestión de contenidos (CMS por sus siglas en inglés) o en uno de sus complementos de terceros y otras administran la inyección a través de un formulario de entrada incorrectamente codificado.

El código inyectado registra todas las acciones del usuario (incluidos los datos introducidos de su tarjeta bancaria) y transfiere toda esta información a su propietario. Por lo tanto, en la gran mayoría de los casos, el web skimming es un tipo de secuencia de comandos en sitios cruzados.

Por qué Google Analytics

La recopilación de datos es solo la mitad del trabajo, el malware todavía necesita enviar toda la información al atacante. Sin embargo, el web skimming existe desde hace años, por lo que la industria ha ido desarrollando mecanismos para contraatacar. Uno de estos métodos implica el uso de una Política de seguridad de contenido (CSP por sus siglas en inglés), un encabezado técnico que enumera todos los servicios que tienen derecho a recopilar información en un sitio o página en particular. Si el servicio utilizado por los ciberdelincuentes no figura en el encabezado, los malhechores no podrán retirar la información que recopilen. Ante tales medidas de protección, a algunos se les ocurrió la idea de usar Google Analytics.

Hoy en día, casi todos los sitios web monitorizan minuciosamente las estadísticas de los visitantes. Las tiendas online lo hacen como algo natural y la herramienta más práctica para este propósito es Google Analytics, un servicio que permite la recopilación de datos en función de muchos parámetros y que la utilizan aproximadamente 29 millones de sitios. La probabilidad de que la transferencia de datos a Google Analytics esté permitida en la Política de Seguridad de Contenido de una tienda online es extremadamente alta.

Para recopilar estadísticas de un sitio web, todo lo que tienes que hacer es configurar los parámetros de seguimiento y agregar un código de seguimiento a estas páginas. En lo que respecta al servicio, si puedes agregar este código, te considera el propietario legítimo del sitio. Entonces, el script malicioso de los atacantes recopila datos de los usuarios y luego, utilizando su propio código de seguimiento, los envía a través del Protocolo de medición de Google Analytics directamente a su cuenta. En esta publicación de Securelist encontrarás más información sobre el mecanismo de ataque y los indicadores de compromiso.

Cómo actuar

Las principales víctimas de este ataque son los usuarios que introducen online los datos de sus tarjetas bancarias. Pero en general, el problema debería abordarse desde el lado de las empresas que admiten sitios web con formularios de pago. Para evitar la fuga de datos del usuario desde tu sitio web, recomendamos que:

  • Actualizar periódicamente todo el software, incluidas las aplicaciones web (el CMS y todos sus complementos).
  • Instalar los componentes del CMS únicamente de fuentes de confianza.
  • Adoptar una política estricta de acceso al CMS que restrinja los derechos del usuario al mínimo necesario y exija el uso de contraseñas seguras y únicas.
  • Realizar auditorías periódicas de seguridad del sitio con el formulario de pago.

En cuanto a los usuarios, las posibles víctimas directas de este ataque, el consejo es muy simple: usa un software de seguridad de confianza. Las soluciones de Kaspersky para usuarios domésticos y pymes detectan los scripts maliciosos en sitios de pago gracias a nuestra tecnología Pago Seguro.

Consejos