{"id":24336,"date":"2020-06-26T13:42:29","date_gmt":"2020-06-26T11:42:29","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24336"},"modified":"2020-06-26T13:42:29","modified_gmt":"2020-06-26T11:42:29","slug":"web-skimming-with-ga","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/web-skimming-with-ga\/24336\/","title":{"rendered":"Google Analytics dient als Kanal f\u00fcr Datendiebstahl"},"content":{"rendered":"

Die ziemlich verbreitete Methode des \u201eWeb-Skimming\u201c ist eine altehrw\u00fcrdige Praxis der Cyberkriminalit\u00e4t, mit der man die Karteninhaberdaten von Online-Shop-Besuchern stehlen kann. K\u00fcrzlich entdeckten unsere Experten jedoch eine neue Masche des Web Skimmings: Die Verwendung von Google Analytics zum Extrahieren gestohlener Daten. Wir erkl\u00e4ren Ihnen, wieso diese Methode so gef\u00e4hrlich ist und wie man sich vor Angriffen sch\u00fctzen kann.<\/p>\n

Wie Web-Skimming funktioniert<\/h2>\n

Die Grundidee besteht darin, dass Angreifer sch\u00e4dlichen Code in die jeweiligen Ziel-Webseiten einschleusen. Wie sie das tun, ist ein separates Thema. Manchmal wird durch Brute-Force ein Administrator-Account \u00fcbernommen; manchmal nutzen Angreifer Schwachstellen im Content-Management-System (CMS) oder in einem der Plugins von Drittanbietern aus. Das Einschleusen von Schadcode kann dar\u00fcber hinaus auch durch ein falsch kodiertes Eingabeformular geschehen.<\/p>\n

Der injizierte Code protokolliert alle Benutzeraktionen (einschlie\u00dflich der eingegebenen Bankkartendaten) und \u00fcbertr\u00e4gt diese an die Cyberkriminellen. In den allermeisten F\u00e4llen handelt es sich beim Web-Skimming also um eine Art des Cross-Site-Scripting.<\/a><\/p>\n

Warum Google Analytics<\/h2>\n

Das Sammeln von Daten ist nur die halbe Arbeit. Denn Malware muss die gesammelten Informationen im Anschluss immer noch an den Angreifer \u00fcbermitteln. Web-Skimming gibt es jedoch schon seit Jahren, weshalb die Industrie bereits zahlreiche Abwehrmechanismen entwickelt hat. Eine Methode besteht in der Verwendung einer Content Security Policy (CSP). Hierbei handelt es sich um eine technische Kopfzeile, in der alle Dienste aufgef\u00fchrt sind, die das Recht haben, Informationen auf einer bestimmten Website zu sammeln. Wenn der von den Cyberkriminellen genutzte Dienst nicht in der Kopfzeile aufgef\u00fchrt ist, k\u00f6nnen die \u00dcbelt\u00e4ter die gesammelten Informationen nicht einsehen und speichern. Angesichts solcher Schutzma\u00dfnahmen kamen einige Cyberkriminelle auf die Idee, Google Analytics einzusetzen.<\/p>\n

Heutzutage \u00fcberwacht fast jede Website sorgf\u00e4ltig ihre Besucherstatistiken. Online-Shops tun dies ganz selbstverst\u00e4ndlich. Das bequemste Tool daf\u00fcr ist Google Analytics. Der Dienst erm\u00f6glicht die Datenerfassung auf der Grundlage vieler Parameter und wird derzeit von rund 29 Millionen<\/a> Websites genutzt. Die Wahrscheinlichkeit, dass die Daten\u00fcbertragung an Google Analytics im CSP-Header eines Online-Shops erlaubt ist, ist also extrem hoch.<\/p>\n

Um Website-Statistiken zu sammeln, muss man nur die Tracking-Parameter konfigurieren und einen Tracking-Code zur Website hinzuf\u00fcgen. Was den Dienst betrifft, so ist man der rechtm\u00e4\u00dfige Eigent\u00fcmer der Website, wenn man in der Lage ist, diesen Code einzubetten. Das b\u00f6swillige Skript der Angreifer sammelt also Benutzerdaten und sendet sie dann unter Verwendung ihres eigenen Tracking-Codes \u00fcber das Google-Analytics-Messprotokoll direkt an ihr Konto. Dieser Beitrag von Securelist<\/a> enth\u00e4lt weitere Einzelheiten \u00fcber den Angriffsmechanismus und die Indikatoren f\u00fcr eine Kompromittierung.<\/p>\n

Was man dagegen tun kann<\/h2>\n

Die Hauptopfer dieser Betrugsmasche sind vor allem Benutzer, die Bankkartendaten online eingeben. In den meisten F\u00e4llen muss das Problem jedoch von der Seite der Unternehmen behoben werden, die Websites mit Zahlungsformularen unterst\u00fctzen. Um zu verhindern, dass Benutzerdaten durch Ihre Website geleakt werden, empfehlen wir:<\/p>\n