Google Analytics dient als Kanal für Datendiebstahl

Unsere Experten haben eine neue Masche zum Stehlen von Karteninhaberdaten mit Google-Tools aufgedeckt.

Die ziemlich verbreitete Methode des „Web-Skimming“ ist eine altehrwürdige Praxis der Cyberkriminalität, mit der man die Karteninhaberdaten von Online-Shop-Besuchern stehlen kann. Kürzlich entdeckten unsere Experten jedoch eine neue Masche des Web Skimmings: Die Verwendung von Google Analytics zum Extrahieren gestohlener Daten. Wir erklären Ihnen, wieso diese Methode so gefährlich ist und wie man sich vor Angriffen schützen kann.

Wie Web-Skimming funktioniert

Die Grundidee besteht darin, dass Angreifer schädlichen Code in die jeweiligen Ziel-Webseiten einschleusen. Wie sie das tun, ist ein separates Thema. Manchmal wird durch Brute-Force ein Administrator-Account übernommen; manchmal nutzen Angreifer Schwachstellen im Content-Management-System (CMS) oder in einem der Plugins von Drittanbietern aus. Das Einschleusen von Schadcode kann darüber hinaus auch durch ein falsch kodiertes Eingabeformular geschehen.

Der injizierte Code protokolliert alle Benutzeraktionen (einschließlich der eingegebenen Bankkartendaten) und überträgt diese an die Cyberkriminellen. In den allermeisten Fällen handelt es sich beim Web-Skimming also um eine Art des Cross-Site-Scripting.

Warum Google Analytics

Das Sammeln von Daten ist nur die halbe Arbeit. Denn Malware muss die gesammelten Informationen im Anschluss immer noch an den Angreifer übermitteln. Web-Skimming gibt es jedoch schon seit Jahren, weshalb die Industrie bereits zahlreiche Abwehrmechanismen entwickelt hat. Eine Methode besteht in der Verwendung einer Content Security Policy (CSP). Hierbei handelt es sich um eine technische Kopfzeile, in der alle Dienste aufgeführt sind, die das Recht haben, Informationen auf einer bestimmten Website zu sammeln. Wenn der von den Cyberkriminellen genutzte Dienst nicht in der Kopfzeile aufgeführt ist, können die Übeltäter die gesammelten Informationen nicht einsehen und speichern. Angesichts solcher Schutzmaßnahmen kamen einige Cyberkriminelle auf die Idee, Google Analytics einzusetzen.

Heutzutage überwacht fast jede Website sorgfältig ihre Besucherstatistiken. Online-Shops tun dies ganz selbstverständlich. Das bequemste Tool dafür ist Google Analytics. Der Dienst ermöglicht die Datenerfassung auf der Grundlage vieler Parameter und wird derzeit von rund 29 Millionen Websites genutzt. Die Wahrscheinlichkeit, dass die Datenübertragung an Google Analytics im CSP-Header eines Online-Shops erlaubt ist, ist also extrem hoch.

Um Website-Statistiken zu sammeln, muss man nur die Tracking-Parameter konfigurieren und einen Tracking-Code zur Website hinzufügen. Was den Dienst betrifft, so ist man der rechtmäßige Eigentümer der Website, wenn man in der Lage ist, diesen Code einzubetten. Das böswillige Skript der Angreifer sammelt also Benutzerdaten und sendet sie dann unter Verwendung ihres eigenen Tracking-Codes über das Google-Analytics-Messprotokoll direkt an ihr Konto. Dieser Beitrag von Securelist enthält weitere Einzelheiten über den Angriffsmechanismus und die Indikatoren für eine Kompromittierung.

Was man dagegen tun kann

Die Hauptopfer dieser Betrugsmasche sind vor allem Benutzer, die Bankkartendaten online eingeben. In den meisten Fällen muss das Problem jedoch von der Seite der Unternehmen behoben werden, die Websites mit Zahlungsformularen unterstützen. Um zu verhindern, dass Benutzerdaten durch Ihre Website geleakt werden, empfehlen wir:

  • Eine regelmäßige Aktualisierung der gesamten Software, einschließlich der Web-Anwendungen (CMS und alle seine Plugins),
  • Die Installation von CMS-Komponenten nur aus vertrauenswürdigen Quellen,
  • Die Nutzung einer strengen CMS-Zugangspolitik, die die Benutzerrechte auf das notwendige Minimum beschränkt und die Verwendung sicherer und eindeutiger Passwörter vorschreibt,
  • Die Durchführung von periodischen Sicherheitsaudits der Seite mit dem Zahlungsformular.

Die Benutzer, also die potentiellen direkten Opfer dieser Masche, können sich einfach schützen, indem sie eine zuverlässige Sicherheitssoftware verwenden. Die Kaspersky-Lösungen sowohl für die Benutzer von Heimcomputern als auch für KMUs erkennen dank unserer Safe Money-Technologie bösartige Skripte auf Zahlungsseiten.

Tipps