Cibercriminosos estão usando contas oficiais do Google Analytics para rastrear e roubar informações de clientes que compram em lojas virtuais. A nova técnica descoberta por especialistas da Kaspersky já atingiu dezenas de e-commerces no mundo e permite que os hackers coletem dados confidenciais de usuários, como dados dos cartões de crédito, sem serem notados pelos administradores dos sites.
De acordo com a empresa de cibersegurança, para obter essas informações, os criminosos invadem o código-fonte das lojas virtuais e injetam nele um código de rastreamento.
A partir dessa manobra, os dados inseridos pelos consumidores dos sites hackeados — como credenciais de serviços de pagamento ou números de cartão de crédito — são redirecionados para os invasores, que passam a ter acesso integral às informações confidenciais dos clientes.
Leia também: Mais fraude e menos aprovação? Entenda o paradoxo no e-commerce da América Latina
Golpe antigo no Google Analytics
Segundo a Kaspersky, a tática, conhecida como web skimming, não é nova, porém, o que chamou a atenção neste caso foi a artimanha que os hackers encontraram para não serem percebidos.
Ao invés de usar sites falsos ou disfarçados — como normalmente acontece nessa modalidade de ataque —, os criminosos estão injetando inscrições geradas a partir de contas oficiais do Google Analytics.
O golpe funciona assim: ao se registrarem na ferramenta, eles configuram os parâmetros do seu perfil para receber um ID de rastreamento. Esse ID é então inserido no código-fonte do e-commerce invadido, juntamente com o código malicioso, e os dados roubados são encaminhados para contas verdadeiras do serviço de análises do Google.
A manobra permite ocultar a ação dos hackers. Ao examinar o código-fonte da página, o administrador não encontrará nenhuma conexão com domínios estranhos, mas apenas ligações com contas oficiais do Analytics, o que é uma prática comum nos sites de e-commerce, explica a empresa.
Para dificultar ainda mais a detecção do golpe, os invasores também empregaram uma técnica comum de anti-debugging: se um administrador do site revisar o código-fonte usando o modo desenvolvedor, o código malicioso não será executado.
“Essa é uma técnica que nunca vimos antes e que é particularmente eficaz. O Google Analytics é um dos serviços de análise web mais populares do mercado. A grande maioria dos desenvolvedores e usuários confia nele, o que significa que o serviço é frequentemente autorizado pelos administradores para coletar dados de usuários. Isso faz com que o uso mal-intencionado dessa ferramenta se torne imperceptível e fácil de ignorar. Como regra, os administradores não devem assumir que, apenas porque o recurso de terceiros é legítimo, sua presença no código está correta”, comenta Victoria Vlasova, analista sênior de malware da Kaspersky .
A Kaspersky reportou o problema ao Google e a empresa confirmou que tem feito investimentos constantes para as detecções desses abusos. Para mais informações sobre esta nova técnica de web skimming, acesse o post completo no Securelist, em inglês.
Posicionamento do Google
De acordo com um porta-voz do Google, foram tomadas medidas para solucionar o caso. “Recentemente, fomos notificados sobre essa atividade e suspendemos imediatamente as contas relacionadas por violação de nossos termos de serviço”, ele explica.
“Sempre que identificamos o uso não autorizado do Google Analytics, tomamos as medidas necessárias”, completa o porta-voz.
Leia também: Tentativas de fraudes no e-commerce aumentam 18% na quarentena, aponta ClearSale