Saldırganların e-ticaret sitelerindeki ödeme sayfalarından kredi kartı bilgilerini çalmak için kullandıkları web skimming adı verilen popüler yöntemde web sitesinin kaynak koduna bazı kod parçaları ekleniyor. Bu zararlı kod parçaları, ziyaretçilerin siteye girdiği verileri (ödeme hesaplarına giriş bilgileri veya kredi kartı numaraları) toplayıp bunları saldırganların belirttiği adrese gönderiyor. Saldırganlar web sitesinin ele geçirdiklerini gizlemek için Google Analytics gibi popüler web analitiği hizmetlerini andıran alan adlarına kayıt oluyor. Böylece site yöneticisinin siteye zararlı kod girdiğini anlaması zorlaşıyor. Örneğin, “googlc-analytics[.]com” gibi bir site adını yasal bir alan adıyla karıştırmak çok kolay oluyor.

Yakın zaman önce Kaspersky araştırmacıları, web sitelerinden kredi kartı bilgilerini çalmak için daha önce bilinmeyen bir yöntemin kullanıldığını da keşfetti. Bu yöntemde saldırganların veriyi üçüncü taraf kaynaklar yerine resmi Google Analytics hesaplarına yönlendirdiği görüldü. Google Analytics hesabı açan saldırganlar, bu hesapların takip parametrelerini düzenleyerek bir takip kimliği alıyor. Ardından bu takip kimliğine zararlı kodlar ekleyerek web sitesinin kaynak koduna yerleştiren saldırganlar ziyaretçilerin verilerini toplayıp doğrudan kendi Google Analytics hesaplarına gönderiyor.

Veriler bilinmeyen bir üçüncü taraf kaynağına yönlendirilmediği için yöneticilerin bu yöntemi fark etmesi çok zor oluyor. Kaynak kodu incelendiğinde sayfanın resmi bir Google Analytics hesabıyla bağlantı kurduğu görülüyor. Bu da e-ticaret sitelerinin sıklıkla uyguladığı bir yöntem.

Kötü niyetli faaliyetin tespitini daha da zorlaştırmak isteyen saldırganlar, hata ayıklamayı önlemek için sıkça kullanılan bir teknikten de yararlanıyor. Site yöneticisi, Geliştirici modunu kullanarak sayfanın kaynak kodunu incelerse zararlı kod çalışmıyor.

Avrupa, Kuzey ve Güney Amerika’da yaklaşık iki düzine web sitesinin bu yolla ele geçirildiği belirlendi.