0xNews - 구글 애널리틱스 Google Analytics 을 이용하여 신용카드 정보 도용 가능 확인

전자 상거래 사이트를 해킹하여 구글 분석 서비스를 이용, 신용 카드 정보 도용이 되는 것을 확인

Kaspersky, PerimeterX, Sansec 등 보안 회사에서 각각 발표

Kaspersky 에서의 발표 정보 링크

PerimeterX 에서의 발표 정보 링크

Sansec 에서의 발표 정보 링크

공격자는 구글 애널리스틱 Google Analytics 에서 생성한 추적 코드 생성

공격에 성공한 웹 사이트에서 전자 결재를 사용하는 사이트 대상으로 데이터 스틸을 위한 코드 인젝션 수행

사용자가 입력한 지불 정보를 유출

Kaspersky 분석 결과

공격자들은 사용자들에 의해 입력된 모든 데이터를 수집한 다음

웹 로그 분석을 통해 전송한 악성 코드를 사이트에서 인젝션 수행

현재까지 유럽과 북미, 남미 등 다양한 지역에서 전자 결재가 가능한 다양한 사이트에서 해당 공격이 되는 것으로 파악

이 공격은 구글의 웹 분석 서비스의 방문자 추척을 사용하는 전자 상거래 웹 사이트가 컨텐츠 보안 정책 CSP content security policy 에서 관련 도메인을 화이트 리스트에 올렸다는 전재에 해당 공격 성공

CSP 는 XSS Cross Site Script 취약점이나 다양한 해킹 공격 그룹에서 사용하는 공격을 포함한 다른 형태의 코드 인젝션 공격으로 인한 위협 탑지를 완화하는데 도움을 주는 추가적인 보안 수단

이런 보안 기능을 통해 웹 사이트 관리자는 웹 브라우저가 특정 URL 에 대해 상호 작용할 수 있는 도메인에 대해 정의하여 신뢰할 수 없는 코드는 실행되지 않게 사이트를 구축할 수 있음

CSP 에 대한 모질라 재단의 공개 자료 링크

PerimeterX 에서 파악하는 문제의 원인은

CSP 규칙을 사용하지만 규직 룰이 충분히 세분화 되어 있지 않아서 발생하는 것으로 분석

코드 인젝션에서의 악의적인 javascript 요청을 인식하고 중지 하려면

사용자의 민감 정보에 대한 접속이나 이에 대한 유출을 탐지할 수 있는 고급 솔루션이 추가적으로 필요

공격자는 이러한 기술을 통해 데이터를 수집하려면 자격 증명이나 결제 정보와 같이 수집된 세부 정보를 이벤트나 구글 분석도구를 통해 다양하게 발생된 정보를 고유하게 식별하고 전송하는 작은 javascript 코드만 필요

이런 공격을 디지털 스키밍 공격 Digital Skimming Attack 이라 칭하며

유럽에서는 Google Firebase 에서 호스팅되는 javascript 코드를 사용하여 여러 전자 상거래 웹 사이트에 악성 코드를 전파하는 공격 탐지 발견

해당 공격은 임시 iframe 을 만들어 공격자가 만든 구글 분석 도구 계정을 로드

결제 양식에 입력한 신용 카드 데이터는 암호화되어 이전에 사용된 암호화 키를 사용하여 복구되는 분석 콘솔로 전송

이런 공격에 구글 웹 로그 분석이 널리 사용

공격자가 이미 허용된 도메인을 활용하여 민감 정보 탈취에 대해 CSP 와 같은 대책은 작동하지 않음

현재 이런 폼 재킹 Form Jacking 공격 형태는 사용자 자신을 보호하기 위한 일은 많지 않음

웹 사이트 관리자가 다른 계정으로 데이터 유출을 제한하는 CSP 규칙 설정 권고

openLab