Bir veri sızıntı kanalı olarak Google Analytics

İnternet mağazası ziyaretçilerinden kart sahibi verilerini elde etmenin oldukça yaygın bir yöntemi olan Web skimming, yaygın bir siber suç yöntemidir. Ancak uzmanlarımız son dönemde çalınan verileri sızdırmak için Google Analytics’in kullanımını içeren oldukça tehlikeli yeni bir yöntem keşfetti. Bu yöntemin neden tehlikeli olduğunu ve bununla nasıl başa çıkılacağını inceleyelim.

Web skimming yöntemi nasıl çalışır?

Ana fikir, saldırganların hedef internet sitesindeki sayfalara kötü amaçlı kod yerleştirmesidir. Bunu nasıl yaptıkları ise ayrı bir konu. Bazen bir yönetici hesabı parolasını kırmaya çalışırlar (veya çalarlar). Bazen içerik yönetim sistemindeki (CMS) veya üçüncü taraf eklentilerinden birinde bulunan güvenlik açıklarını kötüye kullanırlar. Bazen de yanlış kodlanmış bir giriş formuna kötü amaçlı kod yerleştirerek yaparlar.

Yerleştirilen kod tüm kullanıcı işlemlerini (girilen banka kartı verileri dahil) kaydeder ve her şeyi sahibine gönderir. Bu nedenle, vakaların büyük çoğunluğunda Web skimming bir tür siteler arası komut dosyasıdır.

Neden Google Analytics?

Veri toplama işin sadece yarısıdır. Kötü amaçlı yazılımın toplanan bu verileri saldırgana göndermesi gerekir. Web skimming yıllardır var olan bir yöntemdir. Bu sebeple sektör de buna karşı koymak için yöntemler geliştirmiştir. Bu yöntemlerden biri, belirli bir internet sitesinde veya sayfada bilgi toplama yetkisine sahip tüm hizmetlerin listelendiği teknik bir üst bilgi olan İçerik Güvenliği İlkesi’nin (CSP) kullanılmasıdır. Siber suçlular tarafından kullanılan hizmet bu üst bilgide listelenmemişse suçlular topladıkları bu bilgileri alamazlar. Bu tür koruyucu önlemler göz önüne alındığında, dolandırıcılar Google Analytics’i kullanma fikrini ortaya attılar.

Bugün, hemen hemen her internet sitesi ziyaretçi istatistiklerini dikkatle takip ediyor. Elbette, internet mağazaları da bunu yapıyor. Bu amaca en uygun araç ise Google Analytics. Google Analytics, birçok parametreye dayalı veri toplamaya izin veriyor ve yaklaşık 29 milyon internet sitesi bu hizmeti kullanıyor. Bir internet mağazasının CSP üst bilgisinde Google Analytics’e veri aktarımına izin verme olasılığı çok yüksektir.

İnternet sitesi istatistiklerini toplamak için yapmanız gereken tek şey, takip parametrelerini yapılandırmak ve sayfalarınıza bir takip kodu eklemek. Google Analytics’e göre bu kodu siteye ekleyebiliyorsanız sitenin yasal sahibisiniz demektir. Böylece saldırganların kötü amaçlı komut dosyası kullanıcı verilerini toplar ve ardından kendi takip kodlarını kullanarak Google Analytics Ölçüm Protokolü aracılığıyla doğrudan hesaplarına gönderir. Securelist’in gönderisinde saldırı yöntemi ve ortaya çıkma belirtileri hakkında daha fazla ayrıntı bulunuyor.

Ne yapmalıyız?

Yöntemin asıl kurbanları, banka kartı verilerini çevrimiçi olarak giren kullanıcılardır. Ancak sorunun çoğunlukla internet sitelerini ödeme formlarıyla destekleyen şirketler tarafından ele alınması gerekir. İnternet sitenizden kullanıcı verilerinin sızdırılmasını önlemek için şunları yapmanızı öneririz:

• İnternet uygulamaları (CMS ve tüm eklentileri) dahil olmak üzere tüm yazılımları düzenli olarak güncellemek,
• CMS bileşenlerini yalnızca güvenilir kaynaklardan yüklemek,
• Kullanıcı haklarını gereken minimum düzeye indiren ve güçlü ve benzersiz şifrelerin kullanımını zorunlu kılan katı bir CMS erişim politikası benimsemek,
• Ödeme formu ile birlikte internet sitesinin periyodik güvenlik denetimlerini yapmak.

Bu yöntemin doğrudan potansiyel kurbanı olan kullanıcılar için verilecek tavsiye oldukça basittir: Güvenilir güvenlik yazılımı kullanın. Hem ev kullanıcıları hem de küçük işletmeler için Kaspersky çözümleri, Safe Money teknolojimiz sayesinde ödeme sitelerindeki kötü amaçlı komut dosyalarını algılar.