研究人員報告稱，黑客正在濫用谷歌分析(Google Analytics)，以便偷偷地從受感染的電子商務網站竊取信用卡數據。

盜刷銀行卡用過去僅指在實體店感染銷售點機器的做法。而惡意軟件會提取信用卡/銀行卡號碼和其他數據，接著攻擊者會使用或出售被盜信息。

據arstechnica報道，最近，這類攻擊已經擴展到電子商務網站。黑客利用獲得的控制權，在后端系統植入未經授權的代碼，由于后端系統負責接收和處理在線交易期間的銀行卡數據，這些惡意代碼借此復制數據。

要成功入侵系統的一個挑戰是繞過網站安全策略，或者隱藏被感染網絡上的大量敏感數據。卡巴斯基實驗室(Kaspersky Lab)的研究人員周一表示，他們最近觀察到大約 20 多個感染網站，發現了實現這一目標的新方法。攻擊者不會將其發送到攻擊者控制的服務器上，而是將其發送到他們控制的谷歌分析賬戶上。由于谷歌服務被廣泛使用，電子商務網站安全策略通常完全信任它接收數據。

卡巴斯基實驗室研究員稱，谷歌分析是一項非常受歡迎的服務(根據BuiltWith的數據，有超過 2900 萬個網站使用)，并且受到用戶的盲目信任。網站管理員通常都會允許谷歌分析服務收集數據。另外，不需要從外部下載代碼就可以實現攻擊。

該研究人員補充道：“為了使用谷歌分析獲取訪問者的數據，網站所有者必須在他們在analytics.google.com的賬戶中配置跟蹤參數，獲取跟蹤標識(tracking ID，類似于這樣的字符串：UA-XXXX-Y)，并將其與跟蹤代碼(一段特殊的代碼)一起插入到網頁中。多個跟蹤代碼可以在一個網站上相互滲透，將訪問者的數據發送到不同的谷歌分析賬戶。”

“UA-XXXX-Y”指的是谷歌分析用來區分一個帳戶和另一個帳戶的跟蹤ID。如下圖所示，顯示了受感染站點上的惡意代碼，IDs(下劃線)可以很容易地與合法代碼混合在一起。

谷歌方面并沒有就谷歌分析是否有防止此類濫用的措施作出回應。

圖文來源：站長之家（ChinaZ.com）

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:站長之家（ChinaZ.com）

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明