11:16 | 01.07.20 | Նորություններ | 2978

Չարագործները Google Analytics-ն օգտագործում են առցանց խանութներում վճարային տվյալներ հավաքելու համար

Չարագործներն առցանց խանութների օգտատերերի վճարային տվյալները հավաքելու (վեբ-սքիմինգ) համար սկսել են օգտագործել Google Analytics գործիքը։ Այդ մասին հաղորդում է «Կասպերսկի» ընկերությունը։

Ընկերության փորձագետները նշում են, որ չարագործներն այլոց կայքերի էջերում ներդնում են վնասաբեր կոդ, օրինակ, կայքի բովանդակության կառավարման համակարգ (CMS – Content Management System) ներթափանցելու միջոցով։ Կոդը պահպանում է օգտատիրոջ գործողությունները (ներառյալ, օրինակ, նրա բանկային քարտերի մուտքագրված տվյալները) եւ փոխանցում հավաքած տեղեկատվությունը տիրոջը։

Google Analytics-ն օգտագործվում է հենց հավաքված տվյալների փոխանցման համար՝ շրջանցելով վեբ-սքիմերներից պաշտպանության մեխանիզմը։ Մեխանիզմներից մեկը կոչվում է Content Security Policy (CSP)։ Այն ստեղված է տեխնիկական հեդերի տեսքով, որում թվարկված են այն ծառայությունները, որոնք ունեն կոնկրետ կայքում կամ էջում տեղեկատվություն հավաքելու իրավունք։ Եթե չարագործների հասցեն այդտեղ չկա, ապա հավաքված տեղեկատվությունը դուրս բերել չի հաջողվի։ Սակայն, գործնականում բոլոր կայքերը մանրազնին հետեւում են այցելությունների վիճակագրությանը։ Google Analytics ծառայությունը թույլ է տալիս հավաքել բազմաթիվ պարամետրեր եւ այժմ կիրառվում է մոտ 29 միլիոն կայքերում։

Հավանականությունը, որ Google Analytics-ի տվյալների փոխանցումը կթույլատրվի առցանց խանութի CSP-գլխագրում, չափազանց բարձր է։ Կայքում վիճակագրություն հավաքելու համար անհրաժեշտ է միայն կարգավորել հետեւելու պարամետրերը եւ ռեսուրսի էջերում տեղադրել հատուկ կոդ։ Ծառայության տեսանկյունից՝ եթե դուք կարող եք կայքում տեղադրել այդ կոդը, նշանակում է, հանդիսանում եք այդ ռեսուրսի տիրոջ օրինական ներկայացուցիչ։ Այդպես վնասաբեր սկրիպտը հավաքում էր այցելուների տվյալները, իսկ այնուհետեւ, օգտագործելով չարագործի տեղադրած հետեւելու կոդը, Google Analytics Measurement Protocol-ի օգնությամբ ուղարկում էր դրանք ուղիղ գրոհողի անձնական կաբինետ։

COVID-19-ի համավարակը նպաստել է, որ առեւտուրն ամենուրեք առցանց տիրույթ տեղափոխվի ինչպես ամբողջ աշխարհում, այնպես էլ Հայաստանում, եւ բոլոր առցանց խանութներին անհրաժեշտ է պաշտպանվել կայքի միջոցով դրանց օգտատերերի տվյալների արտահոսքից։ Դրա համար հարկ է թարմացնել օգտագործվող ծրագրային ապահովումը՝ չմոռանալով վեբի մասին (CMS-ի եւ դրա բոլոր պլագինների), եւ չտեղադրել CMS-ի բաղադրիչները չստուգված հարթակներից։

Նաեւ պետք է վարել CMS-ին հասանելիության խիստ քաղաքականություն. սահմանափակել օգտատերերի իրավունքները մինչեւ անհրաժեշտ նվազագույնը եւ կիրառել հուսալի եւ ունիկալ գաղտնաբառեր։ Խորհուրդ է տրվում պարբերաբար կատարել վճարային հարթակ ունեցող կայքի անվտանգության աուդիտ։ Իսկ օգտատերերը, հարկ է, որ օգտագործեն հուսալի պաշտպանական ծրագրային ապահովում, որն ունի «անվտանգ վճարումների» տեխնոլոգիայի շնորհիվ վճարային կայքերում վնասաբեր սկրիպտների հայտնաբերման գործառույթ։

Վեբ-սքիմինգի նոր մեխանիզմի մանրամասները՝ Securelist կայքում։