Il Web skimming è una tecnica popolare utilizzata dai cybercriminali per compromettere a sicurezza informatica e rubare i dati delle carte di credito degli utenti dalle pagine di pagamento degli store online: consiste nel code injection, ossia l’aggiunta di pezzi di codice nel codice sorgente del sito web. Questo codice malevolo è in grado di raccogliere i dati inseriti dai visitatori del sito (per esempio le credenziali di login usate dal conto per il pagamento o i numeri della carta di credito) e di inviare quegli stessi dati all’indirizzo indicato dagli attaccanti proprio all’interno nel codice malevolo.
Spesso, per nascondere il fatto che la pagina web è stata compromessa, i cybercriminali registrano domini con nomi che assomigliano a quelli di servizi di web analytics molto popolari. In questo modo, quando procedono con l’injection del codice malevolo, è più difficile per il web administrator sapere che il sito è stato compromesso. Un sito denominato “googlc-analytics[.]com”, per esempio, è facile da confondere con un dominio legittimo.
Di recente i ricercatori Kaspersky hanno scoperto anche una tecnica finora sconosciuta per condurre attacchi di tipo web skimming. Invece che reindirizzare i dati verso fonti di terze parti, i cybercriminali hanno elaborato un sistema per reindirizzarli verso account ufficiali di Google Analytics. Dopo aver registrato i loro account sul servizio di web analytics fornito da Google, ai criminali informatici è bastato configurare i parametri di tracciamento degli account stessi per ricevere un ID di tracciamento. Hanno poi fatto l’injection del codice malevolo insieme al tracking ID nel codice sorgente della pagina web, trovando quindi il modo di raccogliere i dati dei visitatori e di inviarli direttamente ai loro account Google Analytics.
Poiché i dati non sono reindirizzati verso una risorsa sconosciuta di terze parti, per gli amministratori dei siti web è più difficile rendersi conto che il sito è stato compromesso. A chi esamina il codice sorgente, infatti, sembra che la pagina sia collegata ad un account ufficiale di Google Analytics, una pratica piuttosto comune per i negozi online.
Per rendere l’attività malevola ancora più difficile da individuare, i cybercriminali hanno impiegato anche una tecnica comune, quella dell’anti-debugging: se un amministratore del sito esamina il codice sorgente della pagina web utilizzando la modalità Sviluppatore, il codice malevolo non viene eseguito.
Più di venti siti web sono stati compromessi grazie all’uso di questo metodo, tra questi anche negozi online in Europa, nel Nord e nel Sud America.
“Questa è una tecnica che non abbiamo mai analizzato prima e che si è rivelata particolarmente efficace. Google Analytics è uno dei servizi di web analytics più popolari sul mercato. La stragrande maggioranza degli sviluppatori e degli utenti si fida di questo servizio, tanto che spesso gli amministratori dei siti danno a Google Analytics il permesso di raccogliere i dati degli utenti. Questa tecnica fa sì che gli oggetti malevoli contenenti negli account di Google Analytics siano poco visibili e facili da ignorare. Gli amministratori dei siti web, di norma, non dovrebbero considerare accettabile la presenza all’interno del proprio codice di una risorsa di terze parti solo perché questa risulta apparentemente legittima”, ha commentato Victoria Vlasova, Senior Malware Analyst di Kaspersky.
