Les cybercriminels utilisent Google Analytics pour voler des cartes de crédit
Êtes-vous un client régulier d'eBay, d'Amazon et d'autres sites Web de commerce électronique ? Si votre réponse est oui, lisez la suite pour savoir comment les pirates peuvent voler sournoisement les détails de votre carte à l'aide de Google Analytics.
Que se passe-t-il ?
Les pirates utilisent les serveurs de Google et la plateforme Google Analytics pour voler des informations de carte de crédit. Il s'agit d'une nouvelle tactique utilisée pour contourner la politique de sécurité du contenu (CSP) à l'aide de l'API Google Analytics. Il y a des attaques Magecart en cours qui utilisent cette tactique pour gratter les informations de carte de crédit des sites de commerce électronique.
Comment cela marche-t-il ?
- Les cybercriminels peuvent utiliser des scripts Google Analytics pour voler des données. Ils utilisent un script de skimmer Web conçu pour coder et chiffrer les données volées et les envoyer au tableau de bord de leur compte Google Analytics.
- Les attaquants utilisent leur propre propriétaire de Tag ID du formulaire UA-#######-# car le CSP ne fait aucune discrimination en fonction du Tag ID. La racine du problème réside dans la structure non granulaire du système de règles CSP.
Statistiques importantes sur Google Analytics
- Seuls 210 000 domaines Web sur les 3 premiers millions utilisent CSP pour protéger les données des utilisateurs sur leurs sites. De plus, 17 000 sites accessibles via ces domaines principaux ont ajouté google-analytics.com à la liste blanche.
- Plus de 29 millions de sites Web utiliseraient les services Google Analytics, tandis que Yandex Metrika et Baidu Analytics sont utilisés respectivement sur 2 millions et 7 millions de sites.
Que disent les experts ?
- Willem de Groot a déclaré: «CSP a été inventé pour limiter l'exécution de code non approuvé. Mais comme presque tout le monde fait confiance à Google, le modèle est défectueux. »
- Les experts suggèrent qu'une solution potentielle pour cela proviendrait des URL adaptatives qui ajouteraient l'ID en tant que partie de l'URL.
L'essentiel est que CSP ne peut pas garantir la sécurité du site Web si les pirates trouvent des moyens intelligents pour le contourner. Étant donné que les domaines comme Google Analytics sont approuvés par défaut, cela crée une situation vulnérable pour les sites Web les plus populaires qui l'utilisent.
Source : cyware.com