网络不法分子使用Web skimming并非新鲜事,这是一种用于获取网购用户支付数据的常见方法。然而,我们的安全专家近期发现了一种更加新颖的攻击方式,它利用谷歌分析(Google Analytics)来渗漏出窃取的数据,就让我们来分析一下其危险性以及我们应该如何应对吧。
Web skimming的工作原理
这种攻击方式的基本思想是,攻击者在目标网站注入恶意代码。至于他们如何做到这点,则是另一个话题,他们可以暴力破解(或者窃取)管理员账号密码,可以利用内容管理系统(CMS)或其第三方插件的安全漏洞,也可以通过实现方式不安全的输入表单来实现注入。
注入的恶意代码会记录用户的各种行为(包括输入的银行卡信息)并将信息发送给攻击者。因此,大多数情况下,web skimming可以归为一种跨站脚本攻击(Cross-site scripting)。
谷歌分析为何成了”帮凶”
数据收集只是完成一半任务,恶意软件还需要将搜集的数据发送给攻击者。然而web skimming存在多年,业界已经研发出防御方法,其中一种是利用”内容安全策略(CSP)”。这是一种网络请求的头部,它以白名单机制列举出某站点或页面中所有允许收集信息的服务,如果不法分子使用的服务不在列表中,他们将无法获取收集的信息。对于这种防护方法,一些攻击者提出了利用谷歌分析的思想。
如今,几乎所有的网站都会小心翼翼监视访问者相关数据,在线商店当然也不例外。实现这一功能最便捷的工具便是谷歌分析,它允许基于设置参数收集各种信息。目前大约290万个网站在使用谷歌分析,在线商店网站有极高的可能在CSP头部允许数据传输至谷歌分析。
要想收集网站数据,你只需要配置跟踪参数并在页面中添加一个跟踪代码,只要成功添加跟踪代码,谷歌分析便将你视为网站合法拥有者。于是攻击者使用恶意脚本程序收集用户信息,然后利用跟踪代码通过谷歌分析的Measurement协议将数据发送至他们的账号。Securelist上的这篇文章有更多攻击技术细节和妥协指标(IOC)。
我们应该如何应对
这种攻击方式的受害者主要是在网上输入银行卡信息的用户,但是问题更多地应该由给网站提供支付表单支持的公司来处理。我们给出以下建议,来防止你的网站泄露用户信息:
- 经常更新所有软件,包括网络应用程序(内容管理系统和它的所有插件)。
- 从可信任的源头下载安装内容管理系统。
- 采用严格的内容管理系统访问策略,将用户权限最小化,并强制使用非重复的高强度密码。
- 定期对网站的支付表单进行安全审计。
至于用户,作为这种攻击方式的潜在直接受害者,我们的建议十分简单:使用可靠的安全软件。卡巴斯基为家庭用户和中小企业用户提供了安全解决方案,其Safe Money技术可以检测支付页面的恶意脚本程序。