Artur Marciniec - Fotolia
Roban datos de pago de usuarios con servicio de analítica web
Kaspersky dio a conocer que descubrió ataques de web skimming que roban datos de pago de usuarios en algunas tiendas en línea por medio de Google Analytics. Entre las páginas web afectadas por esta técnica en todo el mundo hay algunas de América Latina.
Investigadores de la empresa de seguridad Kaspersky revelaron una nueva técnica utilizada para robar los datos de pago de los usuarios en las tiendas en línea, mediante web skimming. Según explicaron, al registrarse en las cuentas de Google Analytics, e introducir el código de seguimiento en el código fuente de las páginas web, los ciberdelincuentes obtienen los datos de las tarjetas de crédito de los clientes. Más de 20 tiendas en línea de todo el mundo, señalaron, se han visto afectadas por esta práctica.
Web skimming es un método utilizado por ciberdelincuentes mediante el cual los atacantes introducen fragmentos de código dentro del código fuente de una página web. Este código fraudulento reúne los datos introducidos por los usuarios que visitan la página web (como los números de acceso a las cuentas de pago o las tarjetas de crédito) y envía los detalles recopilados a la dirección especificada en el código falso.
Con frecuencia, con el objetivo de ocultar que la página web ha sido vulnerada, los atacantes registran dominios con nombres que se asemejan a los servicios de análisis web más conocidos, como Google Analytics. De esta forma, cuando introducen el código falso, al administrador de la página le resulta más difícil saber que ha sido comprometida ya que, por ejemplo, es fácil confundir un sitio llamado "googlc-analytics[.]com" con el dominio legítimo.
Sin embargo, en la nueva técnica, en lugar de redirigir los datos a otras fuentes, los atacantes los reconducen a cuentas oficiales de Google Analytics. Una vez que los atacantes registran sus cuentas en Google Analytics, solo tienen que configurar los parámetros de seguimiento de las cuentas para recibir una identificación de rastreo. A continuación, introducen el código fraudulento junto con la identificación de seguimiento en el código fuente de la página web, lo que les permite recopilar datos sobre los usuarios y enviarlos directamente a sus cuentas de Google Analytics.
Como los datos no se dirigen a un recurso desconocido, es complicado que los administradores se den cuenta de que la página ha sido atacada. En el caso de aquellos que examinan el código fuente, es como si la página estuviera conectada a una cuenta oficial de Google Analytics, una costumbre habitual en las tiendas en línea.
Para que esta actividad delictiva sea más difícil de detectar, los ciberdelincuentes emplean también una técnica común de lucha contra la depuración: en caso de que el administrador de la página web revise el código fuente de la misma utilizando el modo de desarrollo, el código ilícito no se ejecutará.
Más de 20 páginas web se han visto afectadas por esta técnica, incluyendo tiendas en Europa, Norteamérica y Latinoamérica.
"Se trata de una práctica que no habíamos observado antes y que resulta sumamente eficaz, ya que Google Analytics es uno de los servicios de análisis web más importantes que existen. La gran mayoría de los desarrolladores y de los usuarios confían en él, por lo que los administradores de la página web le suelen dar permiso para recopilar datos de los usuarios. De este modo, resulta fácil pasar por alto las operaciones maliciosas que contienen cuentas de Google Analytics. Por regla general, los administradores no deben asumir que, simplemente porque el recurso de terceros sea legítimo, su presencia en el código es correcta", afirma Victoria Vlasova, analista principal de malware de Kaspersky.
Kaspersky ha informado a Google del problema, y la compañía ya está dedicando recursos a detectar el spam.
Mientras tanto, para mantenerse a salvo del web skimming, Kaspersky recomienda utilizar una solución de seguridad de confianza que pueda detectar y bloquear la ejecución de scripts maliciosos o inhabilitar completamente Google Analytics a través de la función de navegador seguro.