Sono molti gli hacker che attentano ai nostri dati finanziari ed ai nostri numeri di carta di credito, come vediamo spesso negli approfondimenti sulla cybersecurity. Nonostante la grandissima varietà dei tipi di attacco, c’è un pericoloso cartello di hacker che da anni porta avanti con successo molte truffe importanti ai danni dei consumatori nei siti e-commerce più conosciuti al mondo.
Questo gruppo è Magecart ed i suoi obiettivi sono principalmente i “carrelli della spesa” dei siti di acquisti online dai quali evince i dati delle carte di credito. All’inizio, gli attacchi consistevano nell’infettare i siti web dei venditori con dei sistemi di skimming, ovvero dei codici che permettono di tracciare e salvare su banche dati esterne i dati di pagamento. Il funzionamento del web-skimming ricalca molto quello che viene effettuato agli sportelli bancomat inserendo dei congegni negli slot delle carte di credito che permettono di rubare i codici di accesso.
Abbiamo chiamato Magecart “cartello” poiché sotto questo nome c’è una sorta di conglomerato di gruppi che agiscono con lo stesso scopo e a grandi linee con lo stesso modus operandi che è, appunto, lo skimming. Tuttavia, queste tecniche di furto di dati delle carte di credito sono cambiate nel tempo, aggiornandosi e/o adattandosi ai sistemi delle vittime per essere più incisivi.
Fra le vittime illustri di questo gruppo di hacker possiamo trovare grandi nomi come British Airways, Ticketmaster, lo store degli Atlanta Hawks e gli abbonati online di Forbes. E questi sono solo gli attacchi più recenti.
Come attacca Magecart
Solitamente, un attacco Magecart corrisponde ad una sostituzione di una parte di codice Javascript effettuata tramite l’alterazione della fonte del sistema Magento oppure effettuando un redirect del carrello verso un altro URL contenente il malware.
Questo sistema diventa ancora più sofisticato quando si tratta di attacchi ad aziende più grosse, come British Airways. Nel caso della compagnia aerea, infatti, è stata prestata una particolarissima attenzione alla costruzione della pagina dei pagamenti del loro sito oltre ad operare l’iniezione del codice. È stato quindi copiato in modo fedele il form di pagamento e, dunque, tutti i dati inseriti dai clienti andavano dritti dritti nelle banche dati degli hacker. La cosa ancora più grave è che questa truffa è stata perpetrata anche sull’App mobile della compagnia e, oltretutto, il maggior numero di vittime riscontrate erano proprio acquirenti tramite smartphone.
Virus Bulletin ha addirittura rilevato sei diversi gruppi di attacco da parte di Magecart a seconda delle caratteristiche dello skimming, dell’infrastruttura e del targeting.
Si va da gruppi che copiano semplicemente i dati di pagamento nel modo già spiegato fino a chi crea truffe più elaborate, insinuandosi nelle terze parti ospitate sui siti e-commerce delle vittime. Si sono verificati anche casi di creazione di pagine fasulle di compagnie di spedizioni fino alla copia esatta di banner pubblicitari di note aziende che con la sola presenza sul sito hanno già iniziato ad infettare i sistemi con codice malevolo iniziando a spiare le vittime.
I vari gruppi si differenziano anche per le dimensioni del volume di affari dei propri obiettivi. Alcuni puntano negozi online più piccoli cercando quindi di rubare dati per più tempo (è molto probabile che i gestori di questi siti prestino minor attenzione), altri invece puntano sul tutto e subito attaccando aziende importanti, come nel caso di British Airways, alla quale in poco tempo è stata rubata una cifra considerevole, peraltro con una tecnica di skimming molto semplice e ben riconoscibile.
Come prevenire
Nonostante la forza dei vari gruppi Magecart sia evidente, esistono alcuni modi per proteggersi, o perlomeno per cercare di evitare il più possibile, questo genere di attacchi. La prima cosa che si può consigliare è quella di utilizzare scanner gratuiti presenti su internet che ci avvisino in caso di rilevazione di skimmer sui nostri siti web.
È anche possibile implementare un controllo sulla pubblicazione degli script, ovvero richiedere che ogni modifica degli stessi non possa avvenire senza il proprio permesso. Un altro modo potrebbe essere quello di ospitare il maggior numero di script di terze parti sui propri server anziché su server esterni.
Ovviamente non guasterebbe una revisione continua delle proprie politiche di sicurezza, imponendole anche ai propri fornitori, perché un attacco mirato ad essi potrebbe danneggiare anche il nostro sito.
Infine, per quel che riguarda i CMS, è consigliabile procedere all’aggiornamento alla versione 5.2 del proprio sito WordPress, ormai diffuso da qualche mese, dato che sono state aggiunte funzionalità di protezione proprio per evitare questo genere di attacchi.