Awas, Hacker Gunakan Skrip Google Analytics untuk Mencuri Data Kartu Kredit
Ilustrasi| Google Analytics
Cyberthreat.id - Apakah Anda pelanggan atau pengguna tetap platform jual beli raksasa seperti eBay, Amazon, dan situs-situs e-commerce lainnya. Jika iya, maka anda harus mengetahui bagaimana hacker atau penjahat cyber dapat mencuri secara diam-diam dan menyedot detail kartu kredit Anda menggunakan Google Analytics.
Memanfaatkan server Google dan platform Google Analytics untuk mencuri informasi kartu kredit merupakan taktik baru. Metode ini dilaksanakan dengan cara mem-bypass Kebijakan Keamanan Konten (Content Security Policy / CSP) menggunakan Google Analytics API.
Serangan ini diamati oleh peneliti keamanan SanSec dan PerimeterX terhadap serangan Magecart yang sedang berlangsung bulan lalu. Serangan tersebut memanfaatkan taktik ini untuk mengupas informasi kartu kredit dari situs-situs e-commerce.
Bagaimana cara kerjanya?
Penjahat cyber menggunakan skrip skimmer web yang dirancang untuk menyandikan dan mengenkripsi data curian kemudian mengirimkannya ke dashboard Google Analytics para penjahat.
Penyerang menggunakan pemilik Tag ID mereka sendiri dari formulir UA - ####### - # karena CSP tidak membeda-bedakan berdasarkan Tag ID. Akar permasalahan terletak pada struktur non-granular dari sistem aturan CSP.
Dari 3 juta domain web terkemuka, hanya 210.000 domain web yang menggunakan CSP untuk melindungi data pengguna di situs mereka. Selain itu, 17.000 situs yang dapat dijangkau melalui domain-domain top ini telah masuk daftar putih google-analytics.com.
Lebih dari 29 juta situs web dilaporkan menggunakan layanan Google Analytics, sedangkan Yandex Metrika dan Baidu Analytics masing-masing digunakan pada 2 juta dan 7 juta situs.
"CSP diciptakan untuk membatasi eksekusi kode yang tidak dipercaya. Tapi karena hampir semua orang mempercayai Google, modelnya cacat," kata peneliti keamanan Willem de Groot (@gwillem).
Para ahli menyarankan bahwa solusi potensial untuk ini akan datang dari URL adaptif yang akan menambahkan ID sebagai bagian dari URL.
Intinya, CSP tidak dapat memastikan keamanan situs web jika hacker menemukan cara cerdas untuk memintasnya (bypass). Karena domain seperti Google Analytics dipercaya secara default, domain ini menciptakan situasi yang rentan untuk sebagian besar situs web populer yang menggunakannya.[]
