"Kaspersky" pētnieki tiešsaistes iepirkšanās vietnēs ir konstatējuši jaunu tā dēvētā tīmekļa datsmelšanas veida lietotāju maksājumu informācijas zagšanas paņēmienu: uzbrucēji var ievākt lietotāju kredītkaršu datus, reģistrējot "Google Analytics" kontus un šo kontu izsekošanas kodu ievietojot vietnes pirmkodā, portālu "Delfi" informēja kiberdrošības uzņēmuma vadītājs Baltijā Andis Šteinmanis.
Ar šo paņēmienu tika uzlauzti aptuveni divi desmiti tiešsaistes veikalu visā pasaulē.
Tīmekļa datsmelšana ir populāra prakse, ko uzbrucēji izmanto, lai no internetveikalu maksājumu lapām zagtu lietotāju kredītkaršu datus, ievietojot koda daļas vietnes pirmkodā. Pēc tam šis ļaunprātīgais kods ievāc vietnes apmeklētāju ievadītos datus – maksājumu kontu pieteikumdatus vai kredītkaršu numurus. Tad tas nosūta savāktos datus uz adresi, kuru uzbrucēji norādījuši ļaunprātīgajā kodā.
Bieži vien, lai noslēptu, ka tīmekļa lapa ir uzlauzta, uzbrucēji reģistrē domēnus ar nosaukumiem, kas atgādina populārus tīmekļa analīzes pakalpojumus, piemēram, "Google Analytics". Tādējādi, kad tiek ievietots ļaunprātīgais kods, vietnes administratoram ir grūtāk pazīt, ka vietne ir uzlauzta. Piemēram, vietni ar nosaukumu "googlc-analytics[.]com" var viegli sajaukt ar īsto domēnu, skaidroja Šteinmanis.
Nesen "Kaspersky" pētnieki ievēroja agrāk nepamanītu tīmekļa datsmelšanas uzbrukumu izpildes paņēmienu. Uzbrucēji novirzīja datus nevis uz trešu pušu avotiem, bet gan uz oficiāliem "Google Analytics" kontiem. Kad uzbrucēji bija reģistrējuši kontus "Google Analytics", viņiem atlika tikai konfigurēt kontu izsekošanas parametrus, lai saņemtu izsekošanas identifikatoru.
Pēc tam viņi tīmekļa lapas pirmkodā kopā ar izsekošanas identifikatoru ievietoja ļaunprātīgo kodu, kas ļāva ievākt datus par apmeklētājiem un nosūtīt tieši uz viņu "Google Analytics" kontiem. Tā kā dati netiek novirzīti uz nezināmu trešās puses resursu, administratoriem ir grūti saprast, ka vietne ir uzlauzta. Tiem, kas pārbauda pirmkodu, izskatās, ka lapa ir saistīta ar oficiālu "Google Analytics" kontu, kas ir parasta internetveikalu prakse.
Lai ļaunprātīgo darbību padarītu vēl grūtāk pamanāmu, uzbrucēji izmantoja arī izplatītu pretatkļūdošanas paņēmienu: ja vietnes administrators pārskata tīmekļa lapas pirmkodu izstrādātāja režīmā, tad ļaunprātīgais kods netiek izpildīts.
Tika konstatēts, ka šādi ir uzlauztas aptuveni divdesmit vietnes, tostarp veikali Eiropā, Ziemeļamerikā un Dienvidamerikā, norādīja Šteinmanis.
Šo sevišķi efektīvo paņēmienu iepriekš "Kaspersky" nebija novērojuši, atklāja "Kaspersky" vadītājs Baltijā Andis Šteinmanis. Viņš uzsvēra, ka "Google Analytics" ir viens no vispopulārākajiem tīmekļa analīzes pakalpojumiem un lielākā daļa izstrādātāju un lietotāju tam uzticas — tas nozīmē, ka vietņu administratori tam bieži dod atļauju ievākt lietotāju datus.
"Tas padara ļaunprātīgos iespraudumus, kas ietver "Google Analytics" kontus, neuzkrītošus un grūti pamanāmus. Pēc noteikumiem administratoriem nevajadzētu pieņemt, ka tikai tāpēc, ka trešās puses resurss ir likumīgs, tā klātbūtne kodā ir pareiza," komentēja Šteinmanis.