ניצול מנהל התגים של Google
דיווחים אחרונים חשפו מגמה מטרידה שבה פושעי סייבר מנצלים את Google Tag Manager (GTM) כדי לפרוס תוכנות זדוניות של רחפן כרטיסי אשראי באתרי מסחר אלקטרוני מבוססי מג'נטו. GTM, המשמש בדרך כלל לניתוח ופרסום אתרים, עבר מניפולציות כדי לספק גישה מתמשכת לתוקפים. התוכנה הזדונית, מוסתרת בתוך סקריפט GTM ו-Google Analytics רגיל לכאורה, נועדה לגנוב נתוני משתמשים רגישים.
תוכן העניינים
חשיפת הקוד הפגום
לאחר חקירה, מומחי אבטחה גילו שתג ה-GTM שנפגע מכיל דלת אחורית מעורפלת. דלת אחורית זו מאפשרת לתוקפים לשמור על גישה ארוכת טווח לאתרים נגועים. ממצאים ראשוניים הראו שישה אתרים נגועים באותו מזהה GTM (GTM-MLHK2N68), אם כי מספר זה ירד מאז לשלושה. מזהה GTM, בעצם מיכל לקודי מעקב וכללי טריגרים שונים, נמצא הכולל מטען JavaScript מקודד הפועל כרחפן של כרטיסי אשראי.
הפונקציונליות הערמומית של התוכנה הזדונית
התוכנה הזדונית מבוצעת מטבלת 'cms_block.content' בתוך מסד הנתונים של Magento. לאחר ההפעלה, הוא מכוון לדפי התשלום של אתרי מסחר אלקטרוני מושפעים, אוסף מידע רגיש של לקוחות כגון פרטי כרטיס אשראי. הנתונים הגנובים נשלחים לאחר מכן לשרת חיצוני שנשלט על ידי התוקפים, תוך עקיפת אמצעי אבטחה מסורתיים.
היסטוריה של שימוש לרעה ב-GTM
זו לא הפעם הראשונה שמנהל התגים של גוגל נחטף למטרות זדוניות. עוד באפריל 2018, נעשה שימוש לרעה ב-GTM במסע פרסום פרסום שמטרתו לייצר הכנסה באמצעות חלונות קופצים והפניות מחדש. ההתעללות האחרונה הזו מדגישה את הסיכונים המתמשכים הקשורים לפושעי סייבר המנצלים כלי ניהול אינטרנט פופולריים.
פעולה משפטית והשלכות עבור פושעי סייבר
בהקשר למגמה הרחבה יותר של רפרוף בכרטיסי תשלום, משרד המשפטים האמריקאי (DoJ) האשים שני אזרחים רומנים - אנדריי פגאראס ותמאס קולוזווארי. הם עומדים בפני מספר סעיפים של הונאה במכשירי גישה הקשורים למבצע רפרוף נרחב במחוז המזרחי של לואיזיאנה. אם יורשעו, החשודים עלולים לעמוד בפני עד 15 שנות מאסר, קנסות גבוהים ותנאי שחרור מפוקחים משמעותיים.
הפרה האחרונה הזו מדגישה את החשיבות של אבטחת פלטפורמות מסחר אלקטרוני ומעקב קפדני אחר הכלים המשולבים באתרי אינטרנט כדי למנוע שימוש לרעה.
