Tin tặc dùng Google Analytics đánh cắp thông tin thẻ tín dụng

Google Analytics là công cụ trực tuyến để theo dõi số liệu liên quan đến hoạt động một trang web cụ thể. Công cụ này được dùng nhiều nhất cho trang báo điện tử, website bán hàng trực tuyến nhằm hỗ trợ người quản trị có thể đánh giá tổng thể tình trạng của website như lưu lượng truy cập, vị trí địa lý của người dùng, thời gian lưu lại trên web, tỷ lệ thoát trang cùng nhiều chỉ số khác...

Các cứ vào đó những người quản lý trang web hiểu được hành vi của người dùng và đưa ra các chiến lược tốt nhất để thu hút người truy cập vào trang của mình ngày càng nhiều hơn.

Tiện ích do Google Analytic mang lại cho người dùng là không thể phủ nhận. Tuy nhiên cũng như bất cứ công nghệ nào, ngoài những lợi ích, mỗi ứng dụng còn ẩn chứa sự nguy hiểm mất an toàn nếu như tin tặc tìm ra những lỗ hổng bảo mật để tấn công. Analytics của Google là một trong các mục tiêu của hacker.

Một trang quản lý công cụ Google Analytics - Chụp màn hình

Mới đây các nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng bảo mật trong Google Analytics. Từ đây tin tặc có thể vượt qua hệ thống cấu hình "Chính bảo mật nội dung" của Google (Content Security Policy, viết tắt CSP - tiêu chuẩn bảo mật được sử dụng để chặn việc thực thi mã không tin cậy trên các ứng dụng web) để xâm nhập đánh cắp thông tin người dùng.

Theo ghi nhận, từ tuần trước, tin tặc đã tổ chức nhiều đợt tấn công Magecart (tấn công cấy mã độc vào các trang web thương mại điện tử với mục đích đánh cắp thông tin thẻ thanh toán của khách hàng) thông qua lỗ hổng bảo mật CSP trong Analytics. Chiến thuật mới này nhắm vào trang web thương mại điện tử đang dùng dịch vụ phân tích web của Google để theo dõi khách truy cập các tên miền Google Analytics trong danh sách cấu hình CSP của họ.

Nghiên cứu mới từ công ty bảo mật Sansec và PeropesX cho thấy rằng việc sử dụng CSP để ngăn chặn các cuộc tấn công đánh cắp thông tin thẻ tín dụng là vô nghĩa với các trang web đang triển khai Google Analytics vì các tác nhân đe dọa có thể sử dụng chính nó để lọc dữ liệu để thu thập thông tin tài khoản người dùng.

Qua điều tra tuần trước, PeropesX đã tìm thấy và chứng minh "một lỗ hổng dễ tái tạo trong chức năng cốt lõi của CSP khi sử dụng nó để chặn hành vi trộm cắp thông tin đăng nhập, PII và dữ liệu thanh toán như thẻ tín dụng".

Trình tải Magecart bằng tài khoản Google Analytics - Ảnh: Sansec

Ngày 23.6, nhóm nghiên cứu bảo mật Sansec tiết lộ họ đang theo dõi một chiến dịch Magecart kể từ ngày 17.3, những kẻ tấn công đã vượt qua CSP để xâm nhập vài chục trang web thương mại điện tử sử dụng Google Analytics. “Chiến dịch đang chạy trên các máy chủ tin cậy của Google nên rất ít hệ thống bảo mật đánh dấu đây là hoạt động đáng ngờ. Quan trọng hơn, các biện pháp đối phó phổ biến như CSP sẽ không hoạt động khi quản trị viên trang web chủ quan tin tưởng vào Google", Sansec giải thích.

Trình tải mà kẻ tấn công sử dụng để cấy skimmer (thiết bị siêu nhỏ cho phép tin tặc chụp hình và thu lại những thao tác khi người dùng thẻ tín dụng rút tiền mặt) vào web của chúng bằng tài khoản Google Analytics với nhiều lớp che giấu tinh vi rất khó bị phát hiện. Nếu thành công, kẻ tấn công có thể thu thập dữ liệu thẻ tín dụng bị đánh cắp từ bảng điều khiển.

"Một giải pháp khả thi sẽ đến từ các URL (địa chỉ web) thích ứng, thêm ID làm một phần của URL hoặc tên miền phụ để cho phép quản trị viên đặt quy tắc CSP, hạn chế việc lọc dữ liệu sang các tài khoản khác", Shakes khuyến cáo.

Tiểu Vũ