網頁側錄 (Web skimming) 是從網上商店收集付費卡用戶資料的方法,歷史悠久,然而近日卡巴斯基的專家發現一種危險的新方法,利用 Google Analytics去洩露已盜取的資料,令現有的防護機制防不勝防。
網頁側錄的運作方式
網頁側錄的基本概念是攻擊者把惡意編碼加入到目標網站的網頁內,使用的方式可以是暴力破或盜取管理帳號密碼、利用 CMS 或第三方插件的安全漏洞或通過輸入表單的不正確編碼去實行,受感染的編碼記錄所有用戶的活動 (包括輸入的付費卡資料),然後把取得的資料傳送給攻擊者,所以大部份網頁側錄個案都涉及跨網站指令碼。
Google Analytics 作為洩露資料的渠道
收集資料只是工作的一半,惡意程式還要把收集到的資料傳送到攻擊者手上,然而,網頁側錄已經出現多年,業界也開發了應對的機制,其中一種方法就是 Content Security Policy (CSP),它會列出所有擁有權限收集資料的服務到特定的網站或網頁,如果網絡罪犯使用的服務不在清單之上,犯罪份子將無法提取收集到的資料,也因為有這種保護機制,有犯罪份子就想到利用 Google Analytics。
現時接近所有網站都會小心監察訪客的統計,尤其對網上適店最為重要,而最方便的工具莫過於 Google Analytics,它能夠透過多種參數收集資料,現時有大約 2900 萬個網站使用,而且網上商店使用 Google Analytics 通過 CSP 可謂暢通無阻。
要收集網站的統計,需要做的工作只是設定追蹤參數和在網頁上加入追蹤代碼,就服務而言,只要有人能夠加入這代碼,他就是網站的合法持有人,所以攻擊者可以先利用惡意的腳本收集用戶資料,然後利用自己的追蹤代碼,經由 Google Analytics Measurement Protocol 直接傳送到攻擊者的帳號,詳細的攻擊機制和 IoC 可以瀏覽這裡。
用戶被動也應盡力預防
網頁側錄的最大受害者應該是那些在網上輸入了網上銀行資料的用戶,然而用戶面對這方面的安全問題角色比較被動,主要靠持有付費表格網站的公司去處理這個問題,為了防止用戶的資料從網站外洩,我們建議有關公司應該:
- 期更新所有軟件,包括網上應用程式 (CMS 和 插件)
- 只從可靠來源安裝 CMS 的插件
- 採取嚴格的 CMS 存取措施,限制用戶的權限在基本需要之內,並強制使用強力和唯一的密碼。
- 對有付費表格網站定期進行保安審計
對於用戶而言,避免可能成為受害者,建議使用可靠的保安軟件,Kaspersky 的家用和中小企產品含有 Safe Money 技術,能偵測付費網站內的惡意腳本。
