Переглядаючи цей сайт, ви погоджуєтесь з нашою політикою конфіденційності
Прийняти
  • Про нас
  • Політика конфіденційності
  • Контакти
CyberCalm
  • Кібербезпека
    КібербезпекаПоказати ще
    Схема атаки «людина посередині» (MITM): зловмисник перехоплює дані між користувачем і сайтом
    Атака «людина посередині» (MITM): чому двофакторка вже не рятує — і що реально захищає
    7 днів тому
    Рука прикриває клавіатуру банкомата під час введення PIN-коду — захист від скімінгу
    Шахрайство з банкоматами: види загроз і 5 способів захистити свої гроші
    1 тиждень тому
    Ці розширення Chrome були зламані: видаліть негайно, якщо ви їх встановлювали
    Chrome та Firefox отримали оновлення з виправленням понад 70 уразливостей
    2 тижні тому
    Що робити, якщо ваш пароль потрапив у відкриту базу даних
    Що робити, якщо ваш пароль потрапив у відкриту базу даних
    2 тижні тому
    ФБР і Google ліквідували фішинг-сервіс Outsider Enterprise
    ФБР і Google ліквідували китайський фішинговий сервіс, який завдав збитків на 1,9 мільярда доларів
    2 тижні тому
  • Гайди та поради
    Гайди та поради
    Корисні поради, які допоможуть вам почуватися безпечно в мережі, а також маленькі хитрощі у користуванні вашими гаджетами.
    Показати ще
    Топ-новини
    Як перенести Telegram на інший телефон
    Як перенести Telegram на інший телефон. ІНСТРУКЦІЯ
    1 рік тому
    Як розблокувати iPhone та відновити дані
    Як розблокувати iPhone та відновити дані: ІНСТРУКЦІЯ
    1 рік тому
    Найкращі блокувальники реклами для Android у 2024 році
    Найкращі блокувальники реклами для Android у 2024 році
    1 рік тому
    Останні новини
    Як вимкнути автоматичне завантаження файлів у браузері — і чому це варто зробити вже зараз
    2 дні тому
    Самодіагностика смартфона: застосунки, які допоможуть урятувати ваш Android
    2 дні тому
    Як увімкнути режим інкогніто в браузері — і чого він насправді не приховує
    5 днів тому
    Як знайти та видалити шпигунське ПЗ на смартфоні: інструкція для Android та iPhone
    5 днів тому
  • Статті
    Статті
    Цікаві статті про світ технологій, інтернет та кіберзахист. Розбираємо складні теми, від штучного інтелекту до безпеки даних та Big Data. Аналітика для допитливих та професіоналів.
    Показати ще
    Топ-новини
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    7 місяців тому
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    3 місяці тому
    Які послуги входять в обслуговування орендованого сервера
    Які послуги входять в обслуговування орендованого сервера
    7 місяців тому
    Останні новини
    Фейкові квитанції про оплату: як перевірити справжність чека через check.gov.ua
    2 дні тому
    Що таке шкідливе ПЗ: види загроз, як вони працюють і як захиститися
    1 тиждень тому
    Друге життя флагманів
    2 тижні тому
    Яка остання версія Android?
    2 тижні тому
  • Огляди
    ОглядиПоказати ще
    10c46d336be797cecad10a202f8a0d5ed8bbd3afa07bb09b0e5653b174a3573c
    Google Maps проти Apple Maps у 2026 році: який застосунок кращий
    23 години тому
    Заборона соцмереж для дітей: які країни вже ввели обмеження і де готують закони
    Заборона соцмереж для дітей: які країни вже ввели обмеження і де готують закони
    3 тижні тому
    Кому і навіщо потрібен Mac mini: для кого створено найкомпактніший настільний Mac
    Кому і навіщо потрібен Mac mini: для кого створено найкомпактніший настільний Mac
    4 тижні тому
    Найкращі альтернативи AirPods у 2026 році: огляд моделей для Android, Windows та iOS
    Найкращі альтернативи AirPods у 2026 році: огляд моделей для Android, Windows та iOS
    2 місяці тому
    Google випустила десктопний застосунок для Windows: як він змінює роботу з пошуком і особистими даними
    Google випустила десктопний застосунок для Windows: як він змінює роботу з пошуком і особистими даними
    2 місяці тому
  • Техногіганти
    • Google
    • Apple
    • Microsoft
    • Meta
    • OpenAI
    • Anthropic
    • xAI
    • Samsung
  • Теми
    • Комп’ютери
    • Смартфони
    • Електронна пошта
    • Windows
    • Linux
    • Android
    • iPhone
    • VPN
    • Штучний інтелект
    • Робототехніка
Соцмережі
  • Facebook
  • Instagram
  • YouTube
  • TikTok
  • X (Twitter)
  • Threads
Спеціальні теми
  • Кібервійна
  • Маніпуляції в медіа
  • Дезінформація
  • Безпека дітей в Інтернеті
  • Розумний будинок
Інше
  • Сканер безпеки сайту
  • Архів
Читання: Хакери навчилися викрадати особисті дані за допомогою Google Analytics
Розмір шрифтаAa
CyberCalmCyberCalm
Пошук
  • Техногіганти
    • Комп’ютери
    • Смартфони
    • Соцмережі
    • Google
    • Android
    • Apple
    • Windows
    • Linux
    • Штучний інтелект
    • Безпека дітей в інтернеті
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Сканер безпеки сайту
  • Архів
Follow US
  • Про проєкт Cybercalm
  • Політика конфіденційності
  • Контакти
© 2025 Cybercalm. All Rights Reserved.
Головна / Архів / Хакери навчилися викрадати особисті дані за допомогою Google Analytics

Хакери навчилися викрадати особисті дані за допомогою Google Analytics

Архів
6 років тому
Поширити
7 хв. читання

У понеділок, 23 червня, дослідники повідомили, що хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції, пише TheHackerNews.

Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах. У поєднанні з кодом відстеження, згенерованим Google Analytics для власного облікового запису, це дозволяє їм розшифровувати інформацію про платежі, введену користувачами навіть за умови, коли застосовуються політики безпеки вмісту для максимальної безпеки в Інтернеті.

“Зловмисники ввели шкідливий код на сайти, які збирали всі дані, введені користувачами, а потім надсилали їх через Analytics”, – йдеться в повідомленні експертів.. “Як результат, зловмисники могли отримати доступ до викрадених даних у своєму обліковому записі Google Analytics”.

Дослідники заявили, що знайшли близько двох десятків заражених веб-сайтів по всій Європі та Північній та Південній Америці, які спеціалізуються на продажу цифрового обладнання, косметики, харчових продуктів та запчастин.

Атака базується на тому, що веб-сайти електронної комерції, що використовують службу веб-аналітики Google для відстеження відвідувачів, включили в списки пов’язаних доменів у політиці безпеки вмісту (CSP).

- Advertisement -

CSP – це додаткова міра безпеки, яка допомагає виявляти та пом’якшувати загрози, що виникають через уразливі  сценарії та інші види атак з  введенням коду, включаючи ті, які охоплюють різні групи Magecart. Функція захисту дозволяє веб-майстрам визначати набір доменів, з якими веб-браузер повинен мати взаємодію для певної URL-адреси, тим самим запобігаючи виконанню небезпечного коду.

hacking google analytics
“Джерело проблеми полягає в тому, що система правил CSP недостатньо деталізована”, – заявив заступник директора PerimeterX Амір Шекед. “Розпізнавання та зупинення вищезазначеного шкідливого запиту JavaScript вимагає вдосконалених рішень щодо видимості, які можуть виявити доступ та ексфільтрацію конфіденційних даних користувачів (у цьому випадку електронну адресу та пароль користувача”.

Щоб збирати дані за допомогою цієї методики, все, що потрібно хакерам – це невеликий фрагмент коду JavaScript, який передає зібрані деталі, такі як облікові дані та платіжну інформацію, через події та інші параметри, які використовує Google Analytics для унікального визначення різних дій, що виконуються на сайті.

“Адміністратори записують * .google-analytics.com у заголовок Content-Security-Policy (використовується для перерахування сайтів, з яких можна завантажити сторонній код), що дозволяє службі збирати дані. Більше того, атака може бути реалізована без завантаження коду із зовнішніх джерел “, – зазначили дослідники.

Щоб зробити атаки ще більш прихованими, зловмисники також з’ясовують, чи вмикається режим розробника – функція, яка часто використовується для виявлення мережевих запитів та помилок безпеки, крім іншого, у веб-переглядачі відвідувача.

hacking google analytics2
У окремому звіті, опублікованому 22 червня, нідерландська компанія Sansec, яка відстежує цифрові атаки скимінг, розкрила аналогічну кампанію з 17 березня, яка доставляла зловмисний код у кількох магазинах, використовуючи код JavaScript, розміщений у Firebase Firefox.

Дані кредитної картки, що вводяться на платіжних формах, потім шифруються та надсилаються на консоль аналітики, звідки її відновлено за допомогою використовуваного раніше ключа шифрування.

Зважаючи на широке використання Google Analytics у цих атаках, контрзаходи, такі як CSP, не спрацюють, якщо зловмисники скористаються вже дозволеним доменом для викрадення конфіденційної інформації.

hacking google analytics3

“Можливе рішення виходитиме з адаптивних URL-адрес, додаючи ідентифікатор як частину URL-адреси або піддомену, щоб адміністратори могли встановлювати правила CSP, які обмежують пошук даних до інших облікових записів”, – підсумував Шейк. “Більш детальним майбутнім напрямком для посилення напряму CSP, який слід розглядати як частину стандарту CSP, є примусове застосування проксі XHR. Це, по суті, створить WAF на стороні клієнта, який може застосовувати політику щодо дозволу передачі конкретних полів даних”.

Хоча Ви мало що можете зробити проти такої атаки, увімкнення режиму розробника в браузерах може допомогти при здійсненні онлайн-покупок. Але дуже важливо стежити за будь-якими випадками несанкціонованих покупок чи крадіжок особи.

- Advertisement -

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ОГЛЯД УСІХ ПЛАНШЕТІВ ВІД APPLE: ЯКИЙ IPAD ВАРТИЙ ВАШОЇ УВАГИ?

ЯК ШУКАТИ ТА ВІДКРИВАТИ БУДЬ-ЯКІ ФАЙЛИ НА ВАШОМУ КОМП’ЮТЕРІ ЧЕРЕЗ КОМАНДНИЙ РЯДОК?

ОГЛЯД П’ЯТИ ФУНКЦІЙ ANDROID 11, ЧЕРЕЗ ЯКІ ВАРТО ОНОВИТИСЯ

ЯК ПЕРЕВІРИТИ ОПЕРАТИВНУ ПАМ’ЯТЬ НА ПОМИЛКИ ТА ВИПРАВИТИ ЇХ? – ІНСТРУКЦІЯ

Нагадаємо, в Україні розпочав роботу новий електронний сервіс check.gov.ua, який дозволяє перевіряти оплату державних послуг онлайн без надання паперових квитанцій. За допомогою сервісу можна перевіряти квитанції в електронній формі, а не надавати їх в паперовому вигляді з мокрою печаткою до відповідних державних органів.

Зауважте, 39-річний мешканець села Олешник, що на Закарпатті, розробив шкідливе програмне забезпечення для зламу екаунтів користувачів соцмереж. Придбавши програму через створений чоловіком канал у загальнодоступному месенджері, та встановивши на свій гаджет, клієнти отримували змогу зламувати мережеві екаунти користувачів соцмереж.

Також Facebook тестує нову функцію для Messenger, яка дозволяє краще захищати Ваші повідомлення від сторонніх очей. Користувачеві потрібно буде підтвердити свою особу, використовуючи Face ID, Touch ID або свій пароль, перш ніж він зможе переглянути свою папку “Вхідні”, навіть якщо телефон уже розблокований.

Окрім цього, Twitter оголосив, що видалив понад 30 000 облікових записів, які проводили державну пропаганду. Ідентифікована як така, що належить Китаю, найбільша з трьох мереж містила 23 750 облікових записів. Мережа займалася цілою низкою маніпулятивних скоординованих заходів, в основному використовуючи різні китайські мови та діалекти для поширення геополітичних наративів, сприятливих для Комуністичної партії Китаю.

До речі, останні оновлення для Windows 10 підвищують безпеку платформи, але, на жаль, вони також містять неприємні помилки, які роблять неможливим друк, викликаючи збої у принтерів. Звіти користувачів на Reddit та форумі Microsoft Answers показують, що проблема стосується різних моделей принтерів HP, Canon, Panasonic, Brother та Ricoh.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

Перевірте свою поштову скриньку або папку зі спамом, щоб підтвердити підписку.

ТЕМИ:Google AnalyticsJavaScriptбезпека сайтіввіддалене виконання кодувикрадення даниххакерихакерські атаки
Поділитися
Facebook Threads Копіювати посилання Друк
Що думаєте?
В захваті0
Сумно0
Смішно0
Палає0
Овва!0
Попередня стаття placeholder Браузер Edge імпортує дані з Firefox без згоди користувачів
Наступна стаття placeholder Google обмежує термін зберігання Ваших даних

В тренді

Фейкові квитанції про оплату: як перевірити справжність чека через check.gov.ua
Фейкові квитанції про оплату: як перевірити справжність чека через check.gov.ua
2 дні тому
Схема атаки «людина посередині» (MITM): зловмисник перехоплює дані між користувачем і сайтом
Атака «людина посередині» (MITM): чому двофакторка вже не рятує — і що реально захищає
7 днів тому
Самодіагностика смартфона: застосунки, які допоможуть урятувати ваш Android
Самодіагностика смартфона: застосунки, які допоможуть урятувати ваш Android
2 дні тому
видалити рекламний ідентифікатор на Android
Рекламний ідентифікатор на Android: як скинути, видалити й зупинити стеження
6 днів тому
Як вимкнути автоматичне завантаження файлів у браузері
Як вимкнути автоматичне завантаження файлів у браузері — і чому це варто зробити вже зараз
1 день тому

Рекомендуємо

Що таке шкідливе ПЗ: види загроз, як вони працюють і як захиститися
Статті

Що таке шкідливе ПЗ: види загроз, як вони працюють і як захиститися

2 тижні тому
Що робити, якщо ваш пароль потрапив у відкриту базу даних
Кібербезпека

Що робити, якщо ваш пароль потрапив у відкриту базу даних

2 тижні тому
Вкрадені дані, доступи до серверів і RaaS-сервіси: як влаштований сучасний тіньовий ринок кіберзлочинності
Статті

Вкрадені дані, доступи до серверів і RaaS-сервіси: як влаштований сучасний тіньовий ринок кіберзлочинності

1 місяць тому
Білоруська група кіберзлочинців FrostyNeighbor атакує українські державні установи
Кібербезпека

Білоруська група кіберзлочинців FrostyNeighbor атакує українські державні установи

2 місяці тому

Гарячі теми

  • Кібербезпека
  • Штучний інтелект
  • Смартфони
  • Комп'ютери
  • Соцмережі
  • Безпека дітей в Інтернеті

Приєднуйтесь

Ласкаво просимо до CyberCalm – вашого надійного провідника у світі цифрової безпеки та спокою!

Інформація
  • Про нас
  • Політика конфіденційності
  • Контакти
Навігація
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Техногіганти
CyberCalmCyberCalm
© 2025 Cybercalm. All Rights Reserved.
Cybercalm
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?