L’e-skimming è una minaccia che incombe da sempre sullo shopping online, e il rischio aumenta di pari passo con la diffusione dell’e-commerce in generale. L’attuale crisi globale offre agli hacker una notevole opportunità di attaccare, perché gli utenti aumentano la frequenza degli acquisti online. I criminali informatici puntano ai sistemi di pagamento online per raccogliere (skim) i dati delle carte di credito utilizzate dai clienti al checkout.

Diversamente dagli attacchi informatici più tradizionali, in cui gli hacker sferrano una singola e rapida azione contro un intero database di clienti, gli attacchi di skimming intercettano continuativamente i dati di pagamento degli utenti nel punto di acquisto, pertanto risultano più difficili da individuare e sono spesso invisibili sia ai clienti che ai rivenditori.

Nel corso degli anni si sono formati diversi gruppi criminali specializzati in questo tipo di attacchi, il più famoso dei quali è noto con il nome di Magecart. Magecart è un nome generico per una serie di sofisticate organizzazioni a delinquere che utilizzano malware e tecniche simili, tutte con lo scopo di rubare i dati delle carte di credito ai rivenditori online.

Da quanto sappiamo, i gruppi Magecart sono attivi dal 2016 e negli ultimi anni sono riusciti a colpire alcuni dei sistemi di pagamento più importanti del mondo, come British Airways (2018), Newegg electronics (2018), lo store di merchandising per i fan degli Atlanta Hawks (2019), gli abbonamenti alla rivista Forbes (2019), oltre ai siti Web di rivendita dei biglietti per i Giochi Olimpici 2020 e per i campionati europei di calcio UEFA (Union of European Football Associations) Euro 2020. In seguito a questi attacchi, il gruppo Magecart è entrato nella classifica “Most Dangerous People on the Internet” 2018 della rivista Wired.

Come funziona

Nella maggior parte delle azioni di skimming, l’autore della minaccia introduce codice aggiuntivo nell’applicazione e-commerce di un dettagliante. Nei suoi ultimi attacchi, il gruppo Magecart ha compromesso il codice di una terza parte esterna affidabile che veniva legittimamente incluso nell’applicazione, come un repository di codice esterno, un chatbot o un vendor di annunci pubblicitari.

Fino ad ora i ricercatori hanno identificato più di 40 diversi exploit basati sull’introduzione di frammenti di codice, a volte di soli 20 caratteri, che risultano difficili da rilevare, a meno che non si ricerchino le modifiche apportate alle singole righe dell’applicazione.

Gli hacker hanno anche iniziato a utilizzare certificati SSL validi collegati a domini che inviano codice dannoso, di modo che il traffico appaia legittimo e i clienti non ricevano gli avvisi di contenuto misto normalmente inviati quando un sito Web tenta di combinare il proprio contenuto crittografato con un codice nocivo in forma non crittografata.

Un recente report illustra anche attacchi Magecart in cui gli hacker hanno utilizzato controlli di accesso con errori di configurazione nei bucket di Amazon S3 per collegare il codice skimmer ai file di codice di un’applicazione JavaScript esistente.

Difendersi dallo skimming delle carte

La miglior difesa informatica proattiva a disposizione di un’azienda per difendersi dagli attacchi di skimming consiste nel potenziare lo stack dell’applicazione e-commerce e limitare il codice autorizzato all’esecuzione.

  • Utilizzate una risorsa di scansione online gratuita per individuare le connessioni sospette stabilite dagli script inseriti nell’applicazione. Potete usare anche gli strumenti di sviluppo dei browser per analizzare i contenuti e rilevare le connessioni “ambigue” instaurate durante una sessione cliente.
  • Impostando l’opzione “Blocca accesso pubblico” sui bucket Amazon S3 utilizzati dall’azienda è possibile impedire l’accesso non autorizzato ai file applicativi.
  • È possibile definire una policy di protezione del contenuto (CSP, Content Security Policy) con l’elenco dei percorsi delle risorse caricabili dal vostro sito, da applicare a tutte le pagine sensibili, come quelle utilizzate per i pagamenti, l’accesso e qualsiasi altra area in cui gli utenti possono immettere informazioni sensibili.
  • Utilizzate Subresource Integrity (SRI) per verificare tutti gli script esterni, come quelli utilizzati dai partner pubblicitari, al fine di assicurarvi che gli hash di tutti gli script inclusi da origini esterne vengano confrontati con un valore noto valido per determinare se sono effettivamente i file da caricare e, in caso contrario, impedirne il caricamento nel browser.
  • Assicuratevi che tutti gli asset delle pagine sensibili utilizzino SRI. Utilizzando la direttiva “require-sri-for” nella policy CSP per imporre l’uso di SRI in tutti gli script e i tag di stile, potete impedire l’inclusione di asset privi di SRI in tali pagine.

 

L’attività nota di Magecart e altri avversari dimostra che si tratta di una minaccia persistente e resiliente. Essendo particolarmente redditizi, gli attacchi di skimming delle carte continueranno sicuramente ad evolversi, diventando sempre più difficili da individuare e imparando a eludere le precauzioni di sicurezza. Comunque, nel caso della maggior parte degli attacchi sferrati finora da questi gruppi, le misure che abbiamo descritto possono fare molto per prevenire alcune delle violazioni più imbarazzanti e costose.

Per mantenervi informati sui nuovi schemi di ransomware, consultate il report mensile di Threat Intelligence pubblicato da DXC.