Hackers abusam do serviço de rastreamento Google Analytics para coletar dados de pagamento em sites invadidos
Criminosos estão invadindo lojas on-line e depois transmitindo dados de cartões de crédito por um canal de comunicação do Google Analytics, um serviço usado por sites na internet para mapear a própria audiência.
Pelo menos três empresas de segurança – Kaspersky, Sansec e PerimeterX – identificaram sites adulterados com esse código. Nenhuma delas especificou quais endereços da web foram atacados, mas ao menos duas dezenas de empresas teriam sido vítimas dos hackers.
Antes de chegar a esse ponto, os hackers precisaram de algum acesso aos sistemas da loja para incluir o código que registra e transmite as informações de pagamento – como número do cartão, vencimento, código de segurança e nome do titular.
As empresas de segurança não informaram como isso pode ter acontecido, mas indicaram que falhas em sistemas de carrinho de compras ou o uso de extensões inseguras tenha contribuído para a ação dos criminosos.
"Recentemente, fomos notificados sobre essa atividade e suspendemos imediatamente as contas relacionadas por violação de nossos termos de serviço. Sempre que identificamos o uso não autorizado do Google Analytics tomamos as medidas necessárias", afirmou o Google em nota.
Como acontece o ataque
Após encontrar um meio para invadir o site da loja, o hacker faz modificações na página de pagamento e inclui um código que coleta todos os dados digitados. As informações são então remetidas a uma conta do Google Analytics controlada pelos criminosos.
A tecnologia CSP restringe as conexões externas feitas pelo navegador, limitando a ação de códigos irregulares incluídos na página. Ela fornece uma lista de sites que o navegador está autorizado a contatar.
O Analytics, por ser um serviço popular, costuma fazer parte do conteúdo liberado, mas essa decisão cabe a cada site. Sendo assim, as lojas podem contornar esse cenário usando uma regra específica para as páginas de pagamento, já que essas páginas normalmente não precisam ter sua audiência mapeada e o risco de permitir qualquer conteúdo externo é mais alto que em outras telas do site.
A técnica é conhecida como "javascript skimming" e afeta sites populares pelo menos desde 2018, quando a fabricante de celular OnePlus foi afetada por um código desse tipo e revelou que 40 mil clientes tiveram seus dados roubados.
Em novembro de 2019, a Visa alertou a respeito do "Pipka", um código que chamou a atenção por remover a si próprio das páginas após realizar o roubo de dados. Esse comportamento do código dificultava a identificação da fraude, que foi encontrada em 17 sites de comércio eletrônico.
'Cartões virtuais' protegem contra roubo
Os aplicativos das instituições emissoras de cartão muitas vezes permitem que o consumidor crie "cartões virtuais", que evitam a maior parte do prejuízo e das dores de cabeça decorrentes do roubo dos dados do cartão na web.
Embora as compras feitas com o cartão virtual sejam registradas no mesmo extrato, ele é desvinculado do cartão físico. Isso significa que ele pode ser cancelado ou trocado sem que seja preciso cancelar ou trocar também o cartão físico.
Cada banco ou emissora de cartão têm regras específicas para o cartão virtual. Alguns são descartáveis e valem para única compra, enquanto outros funcionam exatamente como o cartão físico, mas com um número diferente. Também há bancos que modificam periodicamente o código de verificação do cartão virtual, o que impediria o criminoso de usar as informações roubadas depois de alguns dias.
Logo que a fraude for percebida, o consumidor pode solicitar o reembolso dos pagamentos, cancelar o cartão virtual e gerar um novo, podendo voltar a realizar compras.
Analista e Administrador de Sistema vulgo Programador
Amante de artes, com gostos peculiares e até duvidosos!
Sempre por aqui indicando um joguinho interessante ou desconhecido. Segue eu!