facebook LinkedIN LinkedIN - follow
Hlavní strana -> Zprávy
Aktuality -> Komunikace a sítě - 23. 6. 2020 - Ing. Lukáš Grásgruber

Pomocí web skimmingu kradou hackeři platební informace přímo na e-shopech

Web skimming Společnost Kaspersky vydala varování před novou technikou hackerů, kteří kradou platební informace uživatelů přímo na e-shopech. Prostřednictvím web skimmingu, jak se tento druh útoku označuje, shromažďují útočníci údaje o platebních kartách uživatelů. Docílí toho registrací do účtů Google Analytics a vložením svého podvrženého kódu do zdrojového kódu webových stránek. Touto metodou doposud ohrozili okolo dvou desítek online obchodů po celém světě.



Web skimming je oblíbenou aktivitou útočníků, kterou se snaží získat údaje o platebních kartách uživatelů z online obchodů. Dosáhnou toho díky vložení částí kódu do zdrojového kódu stránky. Ty pak shromažďují data, která na stránce zadávají uživatelé (nejčastěji přihlašovací údaje do platebního systému nebo údaje z platebních karet), a odesílají je na adresu, kterou útočník začlení do kódu. Útočníci si často zaregistrují domény se jmény podobnými oblíbeným webovým analytickým službám, jako je Google Analytics, aby zamaskovali nabourání cílové stránky. Když útočníci tímto způsobem vloží škodlivý kód, je pro správce webu těžší poznat, že je web ohrožen. Například stránku s názvem „googlc-analytics[.]com“ jde jednoduše považovat za legitimní.

V poslední době ale odborníci z Kaspersky objevili doposud neznámou techniku útoků prostřednictvím web skimmingu. Ta spočívá v přesměrování dat na oficiální účty Google Analytics namísto zdrojů třetích stran. Poté co si útočníci zaregistrovali své účty na Google Analytics stačilo už jen nakonfigurovat parametry sledování účtů tak, aby získali „tracking ID“. To následně vložili spolu se škodlivým kódem do zdrojového kódu webové stránky, což jim umožnilo shromažďovat údaje o návštěvnících a zasílat je na svůj Google Analytics účet.

Protože se data neodesílají neznámému zdroji, je pro správce webu velmi obtížné zjistit, že je jejich stránka v ohrožení. Ti, co se rozhodnou přezkoumat zdrojový kód stránky navíc narazí na to, že je propojen s oficiálním účtem Google Analytics – což je v případě e-shopů zcela běžný postup.

Hackeři navíc stěžují detekci svých škodlivých aktivit i dalšími technikami. Používají například techniku tzv. debuggingu – pokud se správce webu rozhodne zkontrolovat zdrojový kód stránky v režimu vývojáře, škodlivý kód se nespustí.

Doposud odborníci odhalili zhruba dvacet webových stránek – mezi než patřily e-shopy z Evropy a Severní a Jižní Ameriky – které byly napadeny tímto způsobem.

„Jedná se o techniku, kterou jsme doposud nezaznamenali. Zdá se, že je navíc velmi účinná. Vzhledem k tomu, že je Google Analytics jednou z nejpopulárnějších webových analytických služeb, důvěřuje jí většina vývojářů i uživatelů. Proto obvykle nemají webový administrátoři problém jí udělit svolení ke shromažďování uživatelských dat. A to je také důvod, proč nebudí vložení škodlivého kódu s účty Google Analytics tolik pozornosti. Administrátoři by se měli mít na pozoru před jakýmkoliv odkazem v rámci zdrojového kódu jejich stránky,“ upozorňuje Viktorie Vlasová, bezpečnostní analytička ze společnosti Kaspersky.
 


 
  

- PR -

7 častých problémů ve výrobě a jak je vyřeší ERP

Manazer_s_tabletemStále řešíte neefektivní plánování, chybějící materiál nebo opožděné zakázky? ERP systém ABRA Flores vám dá do rukou nástroje pro hladký průběh výroby, snížení nákladů a zvýšení produktivity. Připravili jsme sedm častých problémů, které výrobní firmy běžně řeší, a přitom je lze s využitím informačního systému efektivně zvládnout.

  

- PR -

Umělá inteligence už není pro české firmy tabu

IT Systems 5/2025V aktuálním vydání IT Systems je opět hlavním tématem umělá inteligence, která v českých firmách stále více nachází uplatnění. Potvrzují to i závěry reportu Digitalizace podniků, který vydala společnost Asseco Solutions. Jiří Hub, CEO Asseco Solutions, jej shrnul slovy, že české podniky se opřely do digitalizace a umělá inteligence už pro ně není tabu. Stále ovšem mají co objevovat, protože ze studie společnosti McKinsey vyplývá, že potenciál AI zatím využívá jen zlomek firem a její implementaci v Česku táhnou především sektory bankovnictví, pojišťovnictví a e-commerce.