Ingram SUSE

พบแฮ็กเกอร์ลอบขโมยข้อมูลเลขบัตรเครดิตในเว็บไซต์ผ่าน Google Analytics

Google Analytics เป็นเครื่องมือที่ช่วยให้เจ้าของเว็บได้ข้อมูลการเข้าเยี่ยมชม แต่ล่าสุดแฮ็กเกอร์ก็หาทางใช้ประโยชน์จากช่องทางนี้เพื่อรันแคมเปญการขโมยข้อมูลของเว็บไซต์ E-commerce อีกจนได้

credit : Bleepingcomputer – JavaScript code abusing GA for exfiltration purposes

มาถึงตรงนี้หลายคนอาจจะงงว่า เอ๊ะแล้วปกติเว็บไซต์ไม่มีการป้องกันอะไรไว้เลยหรอ ความจริงก็คือต้องอธิบายก่อนว่าปกติแล้วเว็บไซต์มีกลไกที่ชื่อ Content Security Policy (CSP) ที่ช่วยป้องกันไม่ให้โค้ดที่ไม่ปลอดภัยรันในเว็บได้ แต่ประเด็นคือปกติมักจะมีการเปิดยกเว้น Google Analytics API ในผู้ใช้ CSP อยู่แล้ว ซึ่งตรงนี้เองสิ่งที่คนร้ายทำก็คือการใช้สคิร์ปต์ของ Analytics แบบพิเศษด้วย TAG-ID ของตนเองเข้ามาลอบขโมยข้อมูลในหน้าเว็บไซต์ได้ โดย CSP ไม่สามารถแยกแยะได้ระดับ TAG-ID ด้วยเหตุนี้จึงเกิดการ Bypass ขึ้นแล้ว โค้ดสาธิตจาก PerimeterX (ตามรูปด้านบน)

ถัดมา Sansec ได้รายงานว่าตั้งแต่ 17 มีนาคมที่ผ่านมา พบแคมเปญการโจมตีลักษณะนี้ในเว็บไซต์ด้าน E-commerce หลายสิบแห่ง ซึ่งคนร้ายได้ทำให้เนียนมาขึ้นไปอีก ด้วยการรับข้อมูลที่ได้ผ่าน firebasestorage.googleapis.com ที่เป็นบริการปกติ ซึ่งโดยทั่วไปมักคิดว่าคนร้ายต้องใช้เซิร์ฟเวอร์ที่ลึกลับ สิ่งที่เกิดขึ้นคือ Skimmer จะเข้าไปขโมยข้อมูล input บัตรเครดิต เข้ารหัสและส่งข้อมูลไปยัง Google Analytics Dashboard ของคนร้ายโดยอัตโนมัตินั่นเอง

สำหรับการป้องกันผู้เชี่ยวชาญแนะว่าให้ใช้ Adaptive URL ประกอบกับการเพิ่ม ID ในส่วนของ URL และ Subdomain เพื่อให้ใช้งาน CSP ได้อย่างจำกัดมากขึ้น หรือใช้ XHR proxy enforcement เพื่อควบคุมประเภทข้อมูลที่ถูกส่งออก

ที่มา :  https://www.hackread.com/attackers-steal-payment-data-google-analytics/ และ https://www.hackread.com/attackers-steal-payment-data-google-analytics/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] หัวเว่ยเปิดตัวสายผลิตภัณฑ์โซลูชันอินเทอร์เน็ตอัจฉริยะ ช่วยเสริมโครงสร้างพื้นฐาน ไอซีทีของมหาวิทยาลัยไทยและภาคองค์กรธุรกิจให้พร้อมรับมือทุกสถานการณ์

เมื่อเร็วๆ นี้ หัวเว่ยจัดงาน Huawei Asia Pacific IP Club Carnival 2021 ภายใต้หัวข้อ “พร้อมรับการเปลี่ยนแปลงด้วยเทคโนโลยีอินเทอร์เน็ตอัจฉริยะเพื่อขับเคลื่อนอนาคตใหม่ให้วงการ” พร้อมเผยว่าโซลูชันด้านการสื่อสารและส่งข้อมูลจะช่วยเร่งการเปลี่ยนผ่านสู่ยุคดิจิทัลในภาคอุตสาหกรรมต่าง ๆ และจะช่วยกลุ่มองค์กรธุรกิจรวมถึงสถาบันการศึกษาในประเทศไทยให้สามารถสร้างเทคโนโลยีดิจิทัลที่มีความยืดหยุ่น …

CISA ออกเครื่องมือช่วยตรวจสอบกิจกรรมต้องสงสัยใน Microsoft 365

CISA ได้แจกเครื่องมือสำหรับองค์กรซึ่งสามารถช่วยตรวจสอบกิจกรรมแปลกๆที่เกิดขึ้นกับ Azure AD, Office 365 และ Microsoft 365 ที่อาจถูกแฮ็กเกอร์แฝงตัวอยู่