Kali ini ditemukan hacker menggunakan server Google dan platform Google Analytics untuk mencuri informasi kartu kredit yang dikirimkan oleh pelanggan toko online.
Metode baru untuk mem-bypass Kebijakan Keamanan Konten (CSP) menggunakan API Google Analytics yang diungkapkan pekan lalu telah digunakan dalam serangan Magecart yang dirancang untuk mendapatkan data kartu kredit dari berbagai situs e-commerce.
Penelitian baru dari perusahaan keamanan Sansec dan PerimeterX menunjukkan bahwa menggunakan CSP untuk mencegah serangan skimming kartu kredit tidak ada gunanya di situs yang juga menggunakan Google Analytics (GA), karena aktor penjahat siber dapat menggunakannya untuk mengeksfiltrasi data yang dipanen ke akun mereka.
Mem-bypass CSP menggunakan Google Analytics
Pada 17 Juni 2020, PerimeterX menemukan dan menunjukkan “mudahnya mereproduksi kerentanan dalam fungsionalitas inti CSP ketika menggunakannya untuk memblokir pencurian akun, PII dan data pembayaran seperti kartu kredit.”
Alih-alih memblokir serangan berbasis injeksi, skrip Google Analytics menguntungkan penyerang karena mereka dapat menggunakannya untuk mencuri data. Ini dilakukan melalui skrip web skimmer yang dirancang khusus untuk menyandikan data yang dicuri dan mengirimkannya ke dasbor GA penyerang dalam bentuk terenkripsi.
Penyerang hanya perlu menggunakan Tag ID mereka dari formulir UA-#######-# agar skrip mereka dapat menyalahgunakan GA untuk mengirim info yang dipanen seperti rincian akun, data kartu kredit, dan lainnya karena kebijakan CSP tidak dapat membedakan berdasarkan Tag ID.
“Sumber masalahnya ada di sistem aturan CSP yang tidak cukup granular,” VP riset PerimeterX, Amir Shaked menjelaskan.
Mengenali dan memblokir skrip yang dirancang untuk menyalahgunakan kelemahan ini “memerlukan solusi visibilitas canggih yang dapat mendeteksi akses dan eksfiltrasi data pengguna yang sensitif (dalam hal ini alamat email dan kata sandi pengguna).”
Berdasarkan statistik yang disediakan oleh BuiltWith, lebih dari 29 juta situs web saat ini menggunakan layanan analisis web Google, dengan Baidu Analytics dan Yandex Metrika juga digunakan pada masing-masing lebih dari 7 juta dan 2 juta.
Baca Juga: “Google Hapus 106 Ekstensi Chrome Berbahaya“
CSP dalam beberapa situs di-bypass oleh aktor Magecart
Tim Penelitian Ancaman Sansec baru-baru ini mengungkapkan bahwa mereka melacak operasi Magecart sejak 17 Maret 2020, dengan para penyerang menyalahgunakan masalah ini untuk mem-bypass CSP di berbagai situs e-commerce menggunakan Google Analytics.
Aktor di balik operasi ini melangkah lebih jauh dengan memastikan bahwa semua komponen operasi menggunakan server Google, karena mereka mengirimkan skimmer web kartu kredit ke situs target melalui platform penyimpanan terbuka Google firebasestorage.googleapis.com.
“Ketika operasi skimming berjalan sepenuhnya pada server Google tepercaya, sangat sedikit sistem keamanan akan menandainya sebagai ‘mencurigakan’. Dan yang lebih penting, penanggulangan seperti Content-Security-Policy (CSP) tidak akan berfungsi ketika administrator situs mempercayai Google.” kata Sansec.
