Het vertrouwen dat veel websites hebben in de Google Analytics dienst wordt steeds vaker misbruikt door hackers. Zij zetten de dienst in om hun verkeer te verbergen.
Een en ander moet blijken uit onderzoek van Kaspersky naar het ‘skimmen’ van betaalkaarten. Bij die praktijk gaan misdadigers proberen om de nummers en andere data van een kredietkaart te bemachtigen, in het klassieke voorbeeld door een bankautomaat te infecteren of een extra toestelletje bovenop een betaalautomaat te installeren. De informatie die zo wordt verzamelt, verkopen de aanvallers vervolgers aan misdadigers die er kredietkaartfraude mee plegen.
Nu iedereen online koopt, is het skimmen van kredietkaarten ook steeds meer naar het web verhuisd. Hackers proberen hier binnen te breken op de back-end van een e-commercesite en zo informatie te kopiëren die wordt doorgestuurd tijdens het betaalproces. Maar eens die info gekopieerd is, moet ze nog tot bij de misdadigers geraken, en het is hier dat Kaspersky de Analytics site ziet opduiken. Een beetje securitysoftware stuurt namelijk een hoop waarschuwingen uit als er grote hoeveelheden kredietkaartdata naar een onbekende server (die van de hackers) wordt gestuurd. Dus wat deze aanvallers doen, is ze naar een Google Analytics account sturen waar zij controle over hebben. Omdat de dienst door veel websites gebruikt wordt, staat ze vaak op een whitelist of doet verkeer naar de dienst alvast weinig belletjes rinkelen.
“Google Analytics is een extreem populaire dienst en ze wordt blind vertrouwd door gebruikers”, schrijft Victoria Vlasova, onderzoeker bij Kaspersky Lab, op een blog van het bedrijf. “Administrators laten de dienst toe om data te verzamelen. Een aanval kan op deze manier zelfs uitgevoerd worden zonder code van externe bronnen te downloaden.” Om te weten of data naar de juiste account wordt gestuurd, moet een admin een hoop code doorlopen op zoek naar een trackingID, een proces dat niet voor de hand ligt, aldus Vlasova.
In zijn rapport meldt Kaspersky alvast dat deze hackers vrij intelligent tewerk gaan. Een andere techniek die ze zouden gebruiken is het versturen van data stilleggen wanneer de persoon die de betaalgegevens invoert, in ontwikkelmodus staat op zijn of haar browser. Dat moet security-onderzoekers tegenhouden, die vaak deze modus gebruiken om uit te vissen wat er tijdens een transactie gebeurt.
Google zegt in een mededeling aan de techsite Ars Technica dat het op de hoogte is gebracht van de activiteiten, en dat alle kwaadaardige accounts die het hieromtrent gevonden heeft, werden verwijderd.
Fout opgemerkt of meer nieuws? Meld het hier