Degli skimmer in molti hanno sentito parlare. Si tratta di dispositivi che vengono installati su certi sportelli Bancomat da parte di criminali con il preciso scopo di sottrarre informazioni sulla carta inserita.
Le misure di sicurezza implementate dai vari istituti di credito hanno reso la pratica dello skimming molto meno comune e i criminali si sono ingegnati per sottrarre denaro dai servizi di online banking appoggiandosi alle varie applicazioni: vedere Un malware per Android prende di mira le app di oltre 100 banche, App pubblicata sul Play Store ruba le credenziali dei conti correnti bancari e Pericolose app scoperte nel Play Store di Google rubavano i dati bancari e ancora Le app malevole per Android si fanno più furbe: ecco le tattiche usate per prosciugare i conti correnti.
C’è però un’altra forma di aggressione che prende di mira le carte di credito degli ignari possessori e che si consuma interamente online.
Stando a quanto riferiscono gli analisti di Malwarebytes, il gruppo Magecart, del quale avevamo recentemente parlato (Numeri e dati delle carte di credito intercettati sui siti di ecommerce) sta utilizzando tecniche ancora più originali per sottrarre denaro dalle altrui carte di credito.
Come avevamo visto in passato il nuovo obiettivo è quello di alterare la supply chain dei pagamenti sui siti di ecommerce inserendo codice malevolo sul sito per l’acquisto di prodotti e servizi così da registrare i dati della carte di credito.
La piattaforma Magento consente di facilitare la gestione dei pagamenti con carta di credito ma, nel caso di configurazioni scorrette, mancata installazione degli aggiornamenti di sicurezza o installazione di plugin inaffidabili o vulnerabili, può verificarsi che utenti malintenzionati riescano a iniettare codice malevolo all’interno del sito di ecommerce.
L’immagine, pubblicata dai tecnici di Malwarebytes, mostra a sinistra la richiesta di informazioni di pagamento da parte di una pagina web “pulita”; a destra una serie di campi che sono stati aggiunti – direttamente sulla piattaforma di ecommerce – dagli aggressori.
A una prima occhiata, la richiesta a destra sembrerebbe assolutamente legittima e buona parte degli utenti inserirebbero i dati della loro carta di credito.
Già la frase “Then you will be redirected to PayuCheckout website when you place an order” dovrebbe destare qualche sospetto: quale negozio online chiederebbe i dati di una carta di credito prima di effettuare il reindirizzamento verso la pagina di pagamento vera e propria?
Nel caso di specie, come si spiega da Malwarebytes, dopo aver scelto carta di credito come metodo di pagamento si viene indirizzati verso una pagina che mostra le varie tipologie di carte accettate e che è effettivamente quella legittimamente deputata alla gestione della transazione.
Come avviene l’attacco e come gli aggressori si impadroniscono dei dati della carta di credito
Come accennato in precedenza, i campi per l’inserimento dei dati della carta di credito mostrati nel form di destra vengono aggiunti dinamicamente alterando il DOM (Document Object Model) ovvero la struttura della pagina web.
Qualunque codice inserito nella pagina HTML, residente in locale o su server remoti può infatti alterarne la struttura, anche in maniera significativa. Ricordate, a mero titolo esemplificativo, ciò che avevamo scoperto tempo fa nel caso dell’apprezzato sistema di commentistica Disqus (vedere Disqus modifica la destinazione di alcuni link in modo arbitrario: attenzione)?
Come abbiamo spiegato nell’articolo Reindirizzamenti verso siti indesiderati: quando e perché si verificano, tutto generalmente parte dall’iniezione di codice arbitrario all’interno della piattaforma di ecommerce da parte dei criminali informatici. Ciò accade in forza del mancato aggiornamento del CMS, altre volte per sviste madornali in fase di configurazione, con il brute forcing delle credenziali amministrative, con l’installazione di plugin inaffidabili o con il mancato loro aggiornamento (anch’essi necessitano dell’applicazione di patch di sicurezza), in seguito a vulnerabilità lato server esposte sull’IP pubblico.
Come ben evidenzia Malwarebytes nella sua analisi, nel caso di specie i criminali informatici modificano il DOM della pagina inserendo un IFRAME – quello contenente la richiesta di inserimento – per poi passare tutti i dati raccolti, via JavaScript, a un server situato in Russia (almeno in questo caso).
Alcuni antimalware consentono di rilevare eventuali script malevoli (gli aggressori fanno ampio uso di tecniche di offuscamento rendendo il riconoscimento più complicato): massima attenzione dovrebbe quindi essere riposta sui campi all’interno dei quali si inseriscono dati come quelli delle carte di credito dando credibilità agli store online più affidabili e seguendo attentamente il flusso dell’intera transazione.
L’attivazione dei servizi che informano su eventuali addebiti sulla carta di credito e la consultazione dei movimenti permette se non altro di richiedere il blocco immediato delle somme estorte.