Kaspersky Lab tarafından yapılan bir araştırmaya göre, kredi kartı numaralarını, IP adresleri ve şifreler gibi gizli bilgileri çalmak için Google Analytics’i kullanan yeni bir bilgisayar korsanlığı tekniği olduğunu bildirdi.

Kaspersky Lab’a göre:

“… Bu hizmetin kötüye kullanıldığı birkaç durum tespit ettik: saldırganlar, sitelere kullanıcılar tarafından girilen tüm verileri toplayan ve ardından Analytics aracılığıyla gönderen kötü amaçlı kod enjekte etti (Exploit). Sonuç olarak, saldırganlar Google Analytics hesaplarındaki çalınan verilere erişebilir. ”

Kaspersky’nin raporu, Exploit’in kredi kartı bilgileri de dahil olmak üzere etkilenen web sitesiyle paylaşılan her şeyi çaldığını, ancak muhtemelen parola bilgileri anlamına geldiğini belirtti.

“… Bu script, sitede herkesin girdiği her şeyi (kullanıcının girdiği verileri toplar: IP adresi, Kullanıcını hakkında bilgi, saat dilimi).

Toplanan veriler şifrelenir ve Google Analytics Ölçüm Protokolü kullanılarak gönderiliyor ”

Exploit, şifreleri, isim ve adresleri, kredi karttı bilgilerini ve hatta bilgilerini paylaşan kişinin kişisel bilgilerine kadar “her şeyi” çalıyor.

Exploit Nasıl Çalışır?

Bir sitenin ilk önce sömürülebilir olması gerekir. Bu kısaca saldırganın kontrole ele geçirmesi için hedef yazılımın zayıf ve savunmasız olması gerekiyor.

Sitenin güvenliği ihlal edildiğinde, saldırgan, kullanıcıların sitede paylaştığı şifreler ve kredi kartı numaraları gibi bilgileri silen kodu yükler.

Site ele geçirildikten sonra, saldırgan, kullanıcıların sitede paylaştığı bilgileri, şifreleri ve kredi kartı numaraları olduğu gibi çalan kodu yükler.

Kredi Kartı Numarılarını Çalmak için Google Analytics Kullanılıyor

Google Analytics, yayıncıların sitelerine gelen trafiği çok detaylı şekilde ölçmelerine yardımcı olmak için Google tarafından sağlanan ücretsiz bir yazılımdır. Google analytics ile gelen kullanıcı hakkında birçok bilgi edinilir. Özellikle Reklam kampanyalarında, gelen trafiğin dönüşüm oranlarını görmek için kullanabileceğiniz yegane araçlardan biridir.

Saldırganların kullanıcı bilgilerini çalma biçimi, web sitesine kendi Google Analytics kodlarını ekleyerek, Google Analytics kodunu, kendilerine bilgi transferi göndermek için kullanmaktadırlar.

Content Security Policy ( İçerik Güvenliği Politikası ) – Başlık Hatası

Security headers, web sitesini veri hırsızlığı saldırılarını durdurmaya yardımcı olmak için siteler arası komut dosyası oluşturma ve komut dosyası yerleştirme gibi saldırılara karşı korumanın bir yoludur.

Bu güvenlik başlıklarından birine İçerik Güvenliği İlkesi (CSP) başlığı denir.

CSP üstbilgisi, bir tarayıcıya komut dosyalarını indirmek için hangi alan adlarının güvenilir olduğunu bildirir. Bu, bir bilgisayar korsanının başka bir web sitesinden site ziyaretçisinin tarayıcısına virüs indirmesini önler.

Hacker News’teki bir rapora göre, CSP başlığındaki kusur şuydu; Google Analytics kullanan sitelerde Google Analytics’in CSP’de güvenilir bir komut dosyası kaynağı olarak belirtilmiş olmasıdır.

Böylece, Google Analytics güvenilir bir kaynak olduğundan, bilgisayar korsanları web sitelerine kendi Google Analytics kodlarını ekleyebilir ve içerik güvenliği protokollerini atlayabilir.

İçerik Güvenliği Politikası onu durduramaz.

Ne Yapmalısınız

Sitenizin bu saldırıdan etkilenip etkilenmediğini bilmenin bir yolu, sitenizde birden fazla Google Analytics kodunun bulunup bulunmadığını kontrol etmektir.

Bir sitenin Google Analytics kodunun tamamen değiştirilmesi durumunda, analitiklerin trafik bildirmeyeceği için bu fark edilir.

Ancak, sahte analiz kodunu kaldırmak yeterli değildir. Bu kod varsa, bu, sitede saldırganın ilk önce sahte kodu yerleştirmesine izin veren temel bir güvenlik açığı olduğunun da göstergesidir.

Kaynak: https://www.searchenginejournal.com/hackers-exploiting-google-analytics/373046/