Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Intet er mere troværdigt på nettet end den populære webanalysetjenester Google Analytics – ikke sandt? Mnja … så læs denne historie om, hvordan hackere nu benytter sig af metoden web-skimming på en ny, svigefuld måde.
Web-skimming er en populær praksis, som hackerne bruger til at stjæle folks kreditkortoplysninger fra betalingssiderne på netbutikker. Metoden går ud på, at hackerne indsætter ondsindede koder i kildekoden på udvalgte hjemmesider. Denne kode indsamler derefter de data, der er indtastet af de besøgende på hjemmesiden (dvs. betalingskonto-logins eller kreditkortnumre) og sender så de høstede data til den adresse, der er angivet af hackerne i den ondsindede kode.
Går ind i webbutikkers kildekode
For at skjule, at hjemmesiden er blevet angrebet, opretter hackerne ofte domæner med navne, der ligner populære webanalysetjenester, såsom Google Analytics. Når de indsætter den ondsindede kode, er det således svært for webadministratoren at vide, at webstedet er under angreb. Men nu er de blevet endnu mere snu.
For nylig opdagede analytikere fra it-sikkerhedsfirmaet Kaspersky nemlig en hidtil ukendt metode. I stedet for at omdirigere dataene til selvoprettede domæner, omdirigerer hackerne dem til officielle Google Analytics-konti!
Når hackerne registrerer deres konti på Google Analytics, er det eneste, de behøver at gøre, at konfigurere kontoernes sporingsmodul til at modtage et sporings-id. De indsætter derefter den ondsindede kode sammen med sporings-id'et i websidens kildekode – efter at have hacket websiden – hvilket gør det muligt for dem at indsamle data om besøgende og få oplysningerne sendt direkte til deres egen Google Analytics-konti.
På billedet ser du et eksempel på, hvordan sådan en kodestump ser ud og gemmer sig i en websides htlm-kode.
Ofte bliver det ikke opdaget med det sammen. For da data ikke bliver sendt videre til en ukendt tredjeparts webanalysetjeneste, er det vanskeligt for en webbutik-administratorer at opdage, at webstedet er kompromitteret. For dem, der undersøger kildekoden, ser det ud, som om siden er forbundet med en officiel Google Analytics-konto, hvilket er ganske almindelig praksis for onlinebutikker.
Mange websider er ramt
Mere end en snes hjemmesider i Europa og Nord- og Sydamerika har vist sig at være ramt af denne type angreb.
”Det er en metode, vi ikke har set før, og som er særdeles effektiv. Google Analytics er en af de mest populære webanalysetjenester, og derfor har langt de fleste udviklere og brugere tillid til den, hvilket betyder, at webadministratorer ofte giver tilladelse til indsamling brugerdata. Det gør ondsindede angreb, der indeholder Google Analytics-konti, lette at overse. Derfor skal administratorer være påpasselige med at gå ud fra, at bare fordi tredjepartstjenesten ser ud til at være legitim, så er dens tilstedeværelse i kildekoden det samme,” kommenterer Victoria Vlasova, Senior Malware Analyst hos Kaspersky.
Kaspersky har informeret Google om problemet, der udtaler, at de løbende investerer i opdagelse af spam, oplyser it-sikkerhedsfirmaet.
