روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ وب اسکیمینگ[1] -روشی نسبتاً متداول برای گرفتن اطلاعاتِ دارنده کارت از بازدیدکنندگان فروشگاههای آنلاین- از جمله جرایم سایبریست که امتحانش را پس داده و مجرمین سایبری اول از هر چیز برای سرقت پول بازدیدکنندگان به این متود روی میآورند؛ با این حال به تازگی متخصصین ما نوآوری خطرناکی را کشف کردند که در آن از سرویس گوگل آنالیتیکس برای استخراج دادههای سرقتی استفاده میشود. در ادامه با ما همراه شوید تا بررسی کنیم چرا این نوآوری میتواند خطرناک باشد و چطور باید با آن دست و پنجه نرم کرد.
عملکرد وب اسکیمینگ
داستان از این قرار است که مهاجمین کد آلودهای را به صفحات روی وبسایت هدف تزریق میکنند و اینکه چطور این کار را انجام میدهند خود مقالهی دیگری را می طلبد. برخی اوقات رمزعبور اکانت ادمین را حمله جستجوی فراگیر (یا سرقت) میکنند؛ برخی اوقات آسیبپذیریهای سیستم مدیریت محتوا (CMS) یا یکی از پلاگینهای طرفسومش را اکسپلویت میکنند؛ برخیاوقات نیز آنها از طریق یک فرم ورودیِ نادرست کدنویسیشده تزریق را انجام میدهند. کد تزریقشده تمامی اقدامات کاربری را (شامل اطلاعات واردشدهی کارت اعتباری) لاگ کرده و همهچیز را برای صاحبش انتقال میدهد. از این رو در اکثر قریب به اتفاق موارد، وب اسکیمینگ نوعی اسکریپتِ بین سایتی محسوب میشود.
حالا چرا گوگل آنالیتیکس؟
جمعآوری داده تنها نیمی از ماجراست؛ بدافزار همچنان نیاز دارد اطلاعات جمعآوریشده را برای مهاجم بفرستد. با این حال، سالهاست وب اسکیمینگ کاربرد دارد، بنابراین طبیعی است برای مبارزه با آن مکانیزمهایی توسعه داده شده باشد. یکی از روشها استفاده از سیاست امنیت محتوا (CSP) است؛ هدر فنی که همهی سرویسهایی را که حق جمعآوری اطلاعات روی سایت یا صفحهای خاص دارند فهرست میکند. اگر سرویس استفادهشده توسط مجرمان سایبری در هدر فهرست نشده باشد، مهاجمین نخواهند توانست اطلاعات برداشتشدهشان را باز پس بگیرند. در پرتوی چنین اقدامات محافظتگرانهای برخی دسیسهچینان هم به صرافت استفاده از سرویس Google Analytics افتادند.
امروزه، تقریباً هر وبسایتی به دقت آمار خود را زیر نظر میگیرد. فروشگاههای آنلاین نیز از این قاعده مستثنی نیستند. راحتترین ابزار برای چنین منظوری Google Analytics است. این سرویس برگ سبزیست برای جمعاوری اطلاعات مبتنی بر بسیاری از پارامترها که در حال حاضر حدود 29 میلیون سایت از آن استفاده میکنند. احتمال اینکه انتقال داده در گوگل آنالیتیکس در هدر CSP یک فروشگاه آنلاین مجاز تلقی شود بسیار بسیار زیاد است. برای جمعآوری امار وبسایت فقط کافیست پارامترهای ردیابی را دستکاری کرده و به صفحات خود کد ردیابی اضافه کنید. تا آنجا که به این سرویس مربوط میشود، اگر بتوانید این کد را اضافه کنید پس میشود صاحب قانونی آن سایت!
بنابراین اسکریپت آلودهی مهاجمین، دادههای کاربری را جمع میکند و بعد با استفاده از کد ردیابیشان آن را بواسطهی پروتکل اندازهگیری گوگل آنالیتیکس[2] مستقیماً به اکانت آنها میفرستد.
چه کار باید کرد؟
قربانیان اصلی این دسیسه، کاربرانی هستند که اطلاعات کارت بانکی خود را به صورت آنلاین وارد میکنند. اما بیشتر از هر چیز این مشکل باید از جانب شرکتهایی حل شود که از وبسایتهای دارنده فرمهای پرداختی پشتیبانی میکنند.
برای جلوگیری از نشت دادههای کاربری از سایتتان توصیه میکنیم:
- مرتباً تمامی نرمافزارها را شامل اپهای وبی (CMS و سایر پلاگینهایش) آپدیت کنید.
- اجزای CMS را فقط از منابع معتبر نصب کنید.
- سیاست سرسختانهی CMS که حقوق کاربری را محدود کرده و استفاده از رمزعبورهای قوی و منحصر به فرد را الزامی کرده است اتخاذ کنید.
- به صورت دورهای روی سایتهایی را که فرم پرداختی دارند ممیزیهای امنیتی انجام دهید.
توصیهمان به کاربران نیز –که بالقوه میتوانند قربانیان مستقیم این نقشه شوم باشند- بسیار ساده است: از نرمافزارهای امنیتی قابلاطمینان استفاده کنید. راهکارهای کسپرسکی هم برای کاربران خانگی و هم برای کسب و کارهای کوچک، به لطف فناوری Safe Money اسکریپتهای آلوده را روی سایتهای پرداختی شناسایی میکند.
[1] Web skimming، کپی کردن غیر قانونی دادههای نوار مغناطیسی کارت بانکی روی کارتی دیگر
[2] Google Analytics Measurement Protocol
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.