Ciberdelincuentes usan Google Analytics para saltarse barrera del CSP y robar datos financieros

Un nuevo método para eludir la Política de Seguridad de Contenido (CSP) utilizando la API de Google Analytics fue identificado la semana pasada. Al parecer este es el nuevo método de ataque implementado por el grupo de ciberdelicuentes, Magecart, para extraer datos de tarjetas de crédito de varias docenas de sitios de comercio electrónico.

Kaspersky informó que los delincuentes en línea están recopilando información de tarjetas de crédito creando cuentas de Google Analytics, copiando el código de seguimiento de sus cuentas y luego insertando ese código en el código de la página web.

Kaspersky advierte que «alrededor de dos docenas de tiendas en línea en todo el mundo se vieron comprometidas con este método», la mayoría de las cuales se encuentran en los Estados Unidos, Europa y América del Sur.

Los ataques de navegación web no son exactamente nuevos. Los delincuentes a menudo usan este método para obtener acceso a los detalles de la tarjeta de crédito de las víctimas desprevenidas, y se ha vuelto más frecuente con el rápido crecimiento de las compras en línea en los últimos años.

Usar cuentas legítimas de Google Analytics

Pero la técnica descubierta por Kaspersky es nueva. En lugar de falsificar el nombre de dominio de Google Analytics, los ciberatacantes se aseguran de que los datos robados se envíen a una cuenta legítima de Google Analytics creada por el atacante.

Ahora bien, esta nueva táctica aprovecha el hecho de que los sitios web de comercio electrónico, que utilizan el servicio de análisis web de Google para rastrear a los visitantes, incluyen en su configuración CSP los dominios de Google Analytics.

CSP es una medida de seguridad adicional que ayuda a detectar y mitigar las amenazas derivadas de las vulnerabilidades de secuencias de comandos en sitios cruzados y otras formas de ataques de inyección de código, incluidos los adoptados por varios grupos como Magecart.

Estos ataques se llevan a cabo cuando los ciberdelincuentes alteran el código fuente de los sitios web, lo que les permite recopilar toda la información que los usuarios envían al sitio. (En la mayoría de los casos, los propietarios y administradores del sitio web desconocen que sus sitios
han cambiado).

Los delincuentes también han utilizado dominios que se hacen pasar por servicios legítimos como Google Analytics haciendo difícil su detección por parte de los administradores del sitio.