Навіщо хакерам ваша аналітика та як захистити бізнес від кібератак?

Diana Honcharenko

Оновлено 18.11.2021

Час читання: 6 хв.

Влітку 2020 року в мережу потрапила інформація про те, що хакери навчилися використовувати у своїх цілях дані Google Analytics. Звіти компаній PerimeterX, Kaspersky та Sansec підтвердили крадіжку фінансових відомостей із «заражених» інтернет-магазинів.

Просто уявіть, ви спокійно використовуєте Google Analytics, щоб відстежувати дії відвідувачів, і навіть не здогадуєтеся, що в будь-який момент хакери можуть вкрасти персональні та фінансові дані через параметри аналітики, просто ввівши вірусний код JavaScript.

Чи можна захистити себе від таких хитрощів онлайн-шахраїв? Однозначно, так. І сьогодні ми розповімо, як це зробити.

Яким чином відбуваються атаки на GA?

Амір Шейкед з PerimeterX провів дослідження CSP. Content Security Policy (політика безпеки контенту) – це додатковий рівень безпеки, який дозволяє розпізнавати та усувати вразливості з боку клієнта та атаки типу Magecart (так називають напади на e-commerce системи, такі як Magento або Shopify, з метою крадіжки інформації про банківські картки користувачів).

Як правило, Magecart заражає веб-сайт вірусним кодом і краде дані карт покупців, які в цей момент проводять онлайн-транзакцію. CSP може вказувати браузерам, які домени довірені для завантаження скриптів. Це діє як своєрідний захист від збоїв, щоб хакери не змогли завантажити віруси з інших сайтів у браузер відвідувача вашого ресурсу.

Хостинг від Hostpro — Джерело: *Рахункова палата США (GAO)*

У цьому вся фішка: Google Analytics вказаний у CSP як надійне джерело скриптів. Завдяки цьому хакери можуть додавати на сайти власні коди Google Analytics і обходити протоколи безпеки контенту.

Як ми вже зазначили, проблема не пов’язана з недоліками самого Google Analytics – він виступає посередником для передачі даних. У звіті про дослідження, опублікованому “Лабораторією Касперського”, йдеться, що “зловмисники впроваджували на сайти шкідливий код, який збирав усі дані, введені користувачами, а потім надсилав їх через Analytics. У результаті зловмисники отримували доступ до вкрадених даних в обліковому записі Google Analytics”.

Скрипт, по суті, збирав усе, що будь-хто вводив на сайті (а також інформацію про користувача, який ввів дані: IP-адреса, User Agent, часовий пояс). Зібрані дані шифрувалися та надсилалися за допомогою протоколу Google Analytics Measurement Protocol.

У злочинців була і ще одна стратегія – вони могли зареєструвати домен, що нагадує назву системи аналітики, але містить помилку в написанні (наприклад, google-analytcsapi.com або google-anaiylcs.com).

Як переконатись, що ваш бізнес захищений?

Один з найбільш ефективних способів дізнатися, чи піддався ваш сайт впливу експлойту – перевірити, чи не використовується на вашому сайті більше одного коду Google Analytics.

Якщо інший код Google Analytics повністю замінив ваш власний, це буде помітно з того, що платформа повідомлятиме про нульовий трафік на вашому сайті.

Як захиститись від шахраїв?

З боку користувача:

Встановіть захисне програмне забезпечення, яке визначає шкідливі скрипти та троянські віруси.
Краще не проводити транзакції та надсилати дані карток, підключившись до публічного Wi-Fi. Відкрите інтернет-з’єднання вважається вразливим для хакерів. Але якщо вам весь час необхідно переказувати гроші з громадського Wi-Fi, краще убезпечити себе, ввімкнувши віртуальну приватну мережу та попередньо провести тест на витік DNS.

З боку власника сайту:

ніколи не встановлюйте веб-додатки та компоненти CMS із неперевірених ресурсів;
регулярно оновлюйте програмне забезпечення;
спробуйте звести до мінімуму права користувачів та вести облік тих, хто має доступ до інтерфейсу сайта;
клієнтський IP не вбудований в Google Analytics безпосередньо, і вірусний код використовує зовнішній сервіс, щоб дізнатися IP потенційної жертви, який зазвичай зберігається в cookie_gaip. Тож якщо на вашому сайті присутні дані куки, варто приділяти значну увагу безпеці кредитних карток;
оскільки вірус включає функцію дебагінгу, шкідливе ПЗ можна обеззброїти, додавши команду debug_mode=11 в локальне сховище;
створюйте надійні паролі для всіх адміністративних облікових записів;
для сайтів електронної комерції рекомендується використовувати платіжні шлюзи, які відповідають стандарту PCI DSS;
фільтруйте дані та параметри запитів, що вводяться користувачем, щоб запобігти впровадженню стороннього коду.

Як налаштувати фільтр у Google Analytics?

Спочатку переходимо до списку стандартних звітів Google Analytics.

*Знімки екрана нижче актуальні для версії Universal Analytics.

2. Натискаємо на кнопку “Адміністратор”, потім вибираємо “Всі фільтри”, після чого – “Новий фільтр”.

3. Один клік на “Додати фільтр”.

Налаштування фільтрів у Google Analytics

4. Називаємо фільтр, наприклад «Захист від хакерів».

5. Тепер обираємо «Користувацький» і опцію «Виключити». У полі фільтрів нам знадобиться ім’я хоста. Наприклад, якщо ваш сайт називається Example123.com, ви можете визначити шаблон фільтра як example123\.com. Переконайтеся, що ви не забули поставити значок «\» перед «.».

6. Зазначте також “З урахуванням регістру”.

У поєднанні з іншими заходами кібербезпеки це рішення допоможе обмежити доступ до цінної інформації.

Висновки

Захистити свій бізнес від усіх кіберзагроз у світі навряд чи реально. Проте убезпечити себе від відомих на сьогодні атак можна. Як мінімум, потоваришуйте з фільтрами електронної пошти та браузерів.

Якщо ви плануєте подарувати, продати або викинути старий комп’ютер, видаліть цінну інформацію з жорстких дисків. Бажано не встановлювати веб-програми з неперевірених ресурсів і регулярно оновлювати програмне забезпечення. Просто дотримуйтесь порад вище і шансів постраждати або піддати ризику дані своїх клієнтів стане набагато менше.