黑客使用Google 分析工具(分析)窃取信用卡:如何保护您的企业免受网络威胁

谷歌分析
免版税照片

黑客转向利用3d字迷图迷优化平台 谷歌分析 窃取信用卡,密码,IP地址和大量可被黑客入侵的3d字迷图迷共享的破坏性信息。 

根据卡巴斯基实验室的一项调查,开发了一种新的黑客技术,可以利用Google 分析工具(分析)来窃取支付卡和密码周围的机密数据以及更多可利用的信息。 

然而, 搜索引擎日志 报告说,该问题并非直接归因于Google 分析工具(分析)本身的任何缺陷,而是利用所有浏览器赋予分析引擎的受信任状态,以利用Google 分析工具(分析)作为中间商来转移被黑客入侵的3d字迷图迷的信息数据。  

发表的研究报告 卡巴斯基实验室 声明说,网络安全监管机构发现了几种滥用服务的情况:攻击者向站点注入了恶意代码,站点收集用户输入的所有数据,然后通过Analytics发送。结果,攻击者可以访问其Google 分析工具(分析)帐户中的被盗数据。

该报告还指出,该漏洞利用程序窃取了与受感染3d字迷图迷共享的所有内容。尽管其中包含信用卡信息,但它也可能意味着密码详细信息。 

该脚本会收集3d字迷图迷上任何人输入的所有内容(以及有关输入数据的用户的信息:IP地址,用户代理,时区)。使用Google 分析工具(分析)测量协议对收集的数据进行加密和发送,的 卡巴斯基报告 笔记。 

使用Google 分析工具(分析)窃取信用卡

值得注意的是,要让某个3d字迷图迷被Google 分析工具(分析)利用,它首先必须在一个无意利用的框架上运行–由于易受攻击的软件无法在很大程度上抵御攻击者。 

一旦遭到入侵,黑客将上载代码,窃取访问者将在3d字迷图迷页面上共享的敏感信息,例如密码和支付卡号。 

谷歌分析(分析)软件可免费使用,并可以帮助3d字迷图迷所有者和营销人员 衡量到达的流量 从其他3d字迷图迷和外部来源。该平台的主要目的是帮助企业和3d字迷图迷所有者了解访问者如何与他们的页面进行交互。 

尽管通常通过监视流量来自何处来跟踪市场营销和广告活动,但该工具已引起了犯罪分子的注意–攻击者通过将自己的Google 分析工具(分析)代码添加到3d字迷图迷中来窃取用户信息,并通过将其发送给他们来利用平台。 

利用标题缺陷

安全标头以有效的方式而闻名 保护3d字迷图迷免受攻击 例如跨站脚本和脚本注入,以防止数据盗窃攻击。 

较著名的安全头之一是内容安全策略(CSP)头。 CSP标头可以告诉浏览器可信任哪些域来下载脚本。这是一种故障保护,可防止黑客将病毒从其他3d字迷图迷下载到3d字迷图迷访问者的浏览器上。 

但是,根据 黑客新闻,CSP标头中的一个缺陷是,在使用Google 分析工具(分析)的3d字迷图迷上,该平台在CSP中被指定为可信赖的脚本源。因此,黑客可以将自己的Google 分析工具(分析)代码添加到3d字迷图迷上,并绕过内容安全协议–Google的内容安全政策无能为力。

我们可以看到,基于Web的攻击占在线安全事件的大约11%,这说明了嵌入3d字迷图迷的预防措施的有效性。可以说是世界上最先进的免费3d字迷图迷分析引擎中存在漏洞,这对Google和电子商务企业主都是一个巨大的担忧。 

如何确保您的企业免受攻击

知道您的3d字迷图迷是否受到此漏洞影响的一种更有效的方法是,检查您的3d字迷图迷上是否存在多个Google 分析工具(分析)代码。  

如果其他Google 分析工具(分析)代码已完全替换了您自己的代码,则该平台将报告您帐户的流量为零,这一点将引起注意。 

但是,删除欺诈性分析代码的行为可能不足以挽救您的3d字迷图迷免受攻击。如果存在另一个代码,则可能意味着该站点上的潜在漏洞已使黑客首先将欺诈性代码嵌入。 

谷歌分析(分析)已迅速发展成为在线上功能最强大且最具成本效益的3d字迷图迷分析工具之一。考虑到Google的搜索引擎在线地位,这在很大程度上就不足为奇了。随着绝大多数在线流量通过Google搜索到达3d字迷图迷,互联网巨头已经变得强大到足以 制定自己的规则 网络性能。 

但是,对于依靠在线销售赢得客户的企业而言,Google 分析工具(分析)中漏洞的出现将是令人不安的消息。对于愿意支付溢价以保留更深层次的指标以及安全性的公司,目前有许多替代解决方案。 伯爵 是承诺“安全Web分析”的平台的一个示例。 

尽管您必须请求演示才能开始。如果您需要企业版,则可能要花一美元。 

谷歌分析(分析)的另一个不错的选择是 Finteza。实际上,该工具具有Google 分析工具(分析)所缺少的一项额外的强大功能– 交通质量分析

该功能会自动识别传入流量的质量,并将其分配给特定类别(例如“清除流量”,“自动流量”,“ Cookie操作”,“垃圾邮件”等)。 

安全的必要性

造成的破坏 网络攻击 以惊人的速度增长。我们不仅应该关注基于网络的黑客攻击的数量,还应关注现代网络攻击造成的经济损失的增加。

(图片: 信息安全)

根据 信息安全统计,过去五年造成的网络攻击造成的报告损失超过100万美元,呈指数增长–2018年和2019年报告的案件超过100例。 

随着企业适应全球经济衰退的必然性以及广泛的消费者消费能力丧失,2020年已提醒企业加强防范不受欢迎的访客的能力。考虑到这一点,让我们探索一些关键提示,以确保您的电子商务业务和客户免受在线威胁的威胁:

1.与您的过滤器成为朋友

设置电子邮件和浏览器过滤器以抵御网络黑客并阻止垃圾邮件进入员工收件箱可能非常有用。还可以下载黑名单服务来阻止服务器上的任何人导航到“风险”?可以 构成恶意软件风险

在公司服务器上访问3d字迷图迷时,请务必警告员工。虽然您希望员工避免在工作中使用露骨的3d字迷图迷,但是与一名员工陷入下载恶意软件陷阱相关的风险太大,以至于视而不见。 

2.始终确保对敏感信息进行加密

利用 全盘加密 为了始终保护您公司的计算机,平板电脑和智能手机。将加密密码或密钥保存在安全的位置,该位置也离存储的备份也很远。 

电子邮件收件人往往要求具有相同的加密功能才能解密,因此,千万不要在与加密文档相同的电子邮件中发送密码或密钥。通过电话等其他方式提供它是保持安全性的强大方法。 

3.安全处置旧设备

成功的办公室始终处于创新的最前沿,这意味着通常会在工作场所希望升级其内部技术时看到计算机来来往往。 

但是,在捐赠,出售或丢弃旧计算机之前,务必清除硬盘中所有有价值的信息。删除旧CD,闪存驱动器和其他形式的媒体上的所有敏感业务和个人数据,然后再将它们带到可以安全地代表您处置它们的公司。 

当然,同样的做法也应该用于获取敏感的纸张信息。旨在使用横切碎纸机或焚化炉处理纸质文档。 

4.保护您的网络

重要的是,永远不要停下桂冠 保护您的网络。始终要在新路由器上更改密码,而不要选择提供的管理密钥,并确保您的无线访问点不广播其服务集标识符(SSID)。 

设置路由器以使用 WiFi保护访问2(WPA-2) 并确保您使用高级加密标准(AES)进行加密。在搬入新办公室或与新的互联网提供商合作时,确保网络的安全性应被视为企业面临的最重要的挑战之一。避免使用有线等效保密(WEP)来维护更高级别的安全性也很重要。 

此外,如果您向客户或访客提供无线Internet访问,请确保将其与企业使用的网络分开。 

正如Google 分析工具(分析)的某些用户最近发现的那样,即使是互联网上最大的品牌,在为其用户提供安全性方面也容易受到脆弱性的影响。在世界各地的公司开始感到迫在眉睫的衰退之际,确保您的服务足够强大以始终保护您的客户和现金流比以往任何时候都更为重要。

夏尔马
Dev是的创始人 WPKube,一个受欢迎的Wordpress资源3d字迷图迷。他的作品被精选&在《福布斯》,《企业家》,《 The Next Web》,《 SpeckyBoy》,《 Creative Bloq》,《赫芬顿邮报》,《 SEJ》和《 Smart Blogger》等众多出版物中都有提及。