Criminelen stelen creditcarddata via Google Analytics
Criminelen gebruiken Google Anlytics om creditcardgegevens bij webwinkels te stelen. Dat stelt beveiligingsonderzoeker Richard Wells van Trustwave SpiderLabs. Google Analytics is een programma waarmee websites gegevens en statistieken over hun bezoekers kunnen verzamelen.
Onlangs analyseerde Wells een aanval op een e-commercesysteem van een webwinkel waar de betaalpagina was aangepast. De onderzoeker stelt dat aanvallers normaal hij het inbreken op een e-commercesysteem meteen voor de opgeslagen creditcardgegevens gaan, of ze wijzigen de code, zodat creditcardgegevens worden opgevangen zodra die zich in het systeem bevinden.
Code
In het incident dat Wells onderzocht bleek de webwinkel geen creditcardgegevens op te slaan, waardoor de aanvaller de code van de betaalpagina aanpaste. Via een paar regels code werden ingevulde creditcardgegevens opgeslagen. Normaliter zou er code met het IP-adres volgen waar de aanvaller de opgeslagen data naar toe wilde sturen. In dit geval bleek dat de aanvaller geen IP-adres gebruikte, maar Google Analytics.
De webwinkel gebruikte namelijk al Google Analytics op de website. De aanvaller had echter het Google Analytics account-ID veranderd in een account-ID dat hij zelf had aangemaakt. Daarnaast was er code toegevoegd zodat de opgeslagen creditcardgegevens naar het Google Analytics-account werden doorgestuurd.
Het grote voordeel van de aanpak die Wells beschrijft is dat er geen data via de server van de webwinkel wordt verstuurd, waardoor er ook geen sporen in de weblogs verschijnen. Alle ingevoerde gegevens worden namelijk direct naar Google Analytics gestuurd. De onderzoeker herhaalde de werkwijze en ontdekte in zijn geval dat Google niet verifieert of hij de eigenaar van de website was. Als oplossing hiervoor zou Google maar één geregistreerde Analytics-gebruiker per domein moeten toestaan.
http://piwik.org/
Met name EV (Extended Validation) certificaten zijn een lachtertje zolang jouw webbrowser in de achtergrond verbinding maakt met andere sites (zoals met Google Analytics zoals ook security.nl dat doet). Open maar eens https://ssl.google-analytics.com/ga.js) waarmee (op dit moment in elk geval) de verbinding middels een standaard SSL certificaat wordt versleuteld.
Ik kon zo gauw geen Google Analytics "bank" voorbeeld vinden, maar als je bijv. https://www.asnbank.nl/ opent zie je (in elk geval in Firefox) een groen slotje gevolgd door de groene tekst "ASN Bank N.V. (NL)" ten teken dat het om een EV certificaat gaat. Echter, als je geen extensies zoals NoScript gebruikt, worden er (althans tijdens mijn experiment) in de achtergrond SSL verbindingen gemaakt met zowel https://w.usabilla.com/ als https://d6tizftlrpuof.cloudfront.net/ - beide sites hebben een gewoon certificaat. Sterker, beide sites sturen een wildcard certficaat (*.usability.com en *.cloudfront.net; een EV certificaat mag geen wildcard certificaat zijn).
Overigens zag ik die verbindingen niet als je de inlogpagina, https://www.asnbank.nl/onlinebankieren opent, maar van een leek kun je niet verwachten dat deze dat kan vaststellen. De waarde van een EV certificaat zou dus vergroten op het moment dat webbrowsers uitsluitend de groene info zouden laten zien op het moment dat uitsluitend met de getoonde site wordt gecommuniceerd.
Maar feitelijk is het onzinnig dat je, ongeacht of het om een EV-certificaat of gewoon certificaat gaat, als leek alleen het certificaat van de site in URL-balk kunt bekijken en geen idee hebt met welke andere sites in de achtergrond gecommuniceerd wordt.
Ook een https connectie zal niet helpen want het is de site aan de andere kant die gehacked is.
Het is gewoon een ingenieus concept wat hier gebruikt wordt. Het speciale is de manier waarop het zich kan camoufleren. Als bezoeker van die site kun je daar weinig tegen doen.
Ook een https connectie zal niet helpen want het is de site aan de andere kant die gehacked is.
Het is gewoon een ingenieus concept wat hier gebruikt wordt. Het speciale is de manier waarop het zich kan camoufleren. Als bezoeker van die site kun je daar weinig tegen doen.
In dit geval helpt het wel als je javascript voor google analytics had uitgeschakeld. De code die jouw CCgegevens naar analytics zou sturen, draait namelijk op jouw browser. Als jouw browser nooit verbinding maakt met die server, komt die data daar ook niet terecht.
Gelukkig heb ik zelf al een tijdje in mijn dd-wrt router het hosts bestand aangepast zodat www.google-analytics.com, ssl.google-analytics.com, google-analytics.com en analytics.google.com naar 127.0.0.1 verwijzen.
Ik was op het verkeerde been gezet omdat er toch al op de server ingebroken was en het dus logisch vond dat ook die de data dan zou versturen. Zeker omdat er bij vermeld werd dat het zo niet in het log zou opvallen. En dan denk je toch eerst aan het log van de server en niet de gebruikerslog.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
