{"id":22063,"date":"2020-06-22T13:25:50","date_gmt":"2020-06-22T11:25:50","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22063"},"modified":"2020-06-22T13:25:50","modified_gmt":"2020-06-22T11:25:50","slug":"web-skimming-with-ga","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/web-skimming-with-ga\/22063\/","title":{"rendered":"Google Analytics come canale di esfiltrazione dati"},"content":{"rendered":"

Il web skimming, un metodo abbastanza comune per ottenere i dati dei titolari delle carte di credito che visitano negozi online, \u00e8 una pratica criminale informatica ormai consolidata. Tuttavia, di recente i nostri esperti hanno scoperto una novit\u00e0 piuttosto pericolosa che prevede l\u2019uso di Google Analytics per estrarre i dati rubati. Scopriamo perch\u00e9 questa tecnica \u00e8 una minaccia e come affrontarla.<\/p>\n

Web skimming: come funziona<\/h2>\n

L\u2019idea di base \u00e8 che i cybercriminali inseriscono un codice dannoso nelle pagine del sito web scelto come obiettivo. Come lo fanno \u00e8 una questione a parte. A volte rubano la password di un account amministratore (mediante attacchi di forza bruta); altre sfruttano le vulnerabilit\u00e0 del Content Management System (CMS) o di uno dei plugin di terze parti; altre ancora iniettano il codice dannoso attraverso un modulo codificato in modo errato.<\/p>\n

Il codice iniettato registra le azioni dell\u2019utente (inclusi i dati della carta di credito digitati) e trasferisce il tutto al suo proprietario (ovvero ai cybercriminali). Quindi, nella stragrande maggioranza dei casi, il web skimming \u00e8 un tipo di cross-site scripting<\/a>.<\/p>\n

Perch\u00e9 Google Analytics?<\/h2>\n

La raccolta dei dati \u00e8 solo la met\u00e0 del lavoro. Il malware dovr\u00e0 inviare le informazioni raccolte ai cybercriminali. Poich\u00e9 il web skimming \u00e8 in circolazione da anni, sono stati sviluppati meccanismi per combatterlo. Un metodo prevede l\u2019utilizzo di una Content Security Policy (CSP), un header tecnico che elenca tutti i servizi che hanno il permesso di raccogliere informazioni su un particolare sito o pagina. Se il servizio utilizzato dai criminali informatici non \u00e8 presente nell\u2019header, gli hacker non saranno in grado di ritirare le informazioni raccolte. Alla luce di tali misure di protezione, alcuni cybercriminali hanno avuto l\u2019idea di utilizzare Google Analytics.<\/p>\n

A giorno d\u2019oggi, quasi tutti i siti web monitorano attentamente le statistiche dei visitatori. I negozi online lo fanno sistematicamente. Lo strumento pi\u00f9 comodo per questo scopo \u00e8 Google Analytics. Il servizio consente la raccolta di dati sulla base di molti parametri e attualmente circa 29 milioni<\/a> di siti lo utilizzano. La probabilit\u00e0 che il trasferimento dei dati a Google Analytics sia consentito nell\u2019header CSP di un negozio online \u00e8 estremamente elevata.<\/p>\n

Per raccogliere le statistiche del sito web, non bisogna fare altro che configurare i parametri di tracking e aggiungere tale codice alle vostre pagine. Per quanto riguarda il servizio, se siete in grado di aggiungere questo codice, siete i legittimi proprietari del sito. Lo script dannoso dei cybercriminali raccoglie i dati degli utenti e poi, utilizzando il proprio codice di tracking, li invia attraverso Google Analytics, direttamente all\u2019account dei cybercriminali. Nel nostro post su Securelist<\/a> troverete maggiori dettagli sul meccanismo di attacco e sugli indicatori di compromissione.<\/p>\n

Cosa fare<\/h2>\n

Le principali vittime del sistema sono gli utenti che inseriscono online i dati della carta di credito. Nella maggior parte dei casi, il problema deve essere affrontato dalle aziende che supportano i siti web con dei moduli di pagamento. Per evitare la fuga di dati degli utenti dal vostro sito, vi consigliamo di:<\/p>\n