E-skimmer nascosti nei siti Web, così ci clonano le carte di credito: che c’è da sapere

Sono stati individuati 1.236 domini Internet compromessi mediante e-skimmer (o digital skimmer) utilizzati dai criminal hacker per rubare dati finanziari e numeri di carte di credito alle ignare vittime che visitano i siti Web o ai gestori dei siti stessi.

In particolare, gli e-skimmer vengono nascosti nelle favicon dei siti, cioè nelle immagini e nei loghi che popolano le pagine Web, quindi perfettamente occultati agli occhi delle ignare vittime.

E-skimmer nascosti nei siti Web: di cosa si tratta

Gli attacchi e-skimming, anche noti come web skimming o MageCart (dal famigerato gruppo hacker specializzato proprio negli attacchi a siti di e-commerce), sono apparsi in natura nel 2016: negli ultimi anni, però, si sono intensificati a tal punto da diventare, di fatto, una reale minaccia non solo per i privati ma anche e soprattutto per aziende e organizzazioni pubbliche.

Secondo uno schema semplice e caratteristico, i criminal hacker nascondono questi skimmer digitali su siti legittimi ma compromessi allo scopo di esfiltrare tutti dettagli inseriti sui moduli di pagamento online.

Un recente rapporto della società di sicurezza Malwarebytes, presenta un attacco di questo tipo messo attualmente in atto da un gruppo di criminal hacker con un nuovo livello di sofisticazione.

Durante un lavoro di studio condotto su una serie di attività hacking sospette, l’attenzione dei ricercatori è stata attirata da ciò che accadeva in un sito web che apparentemente offriva immagini e icone per la creazione di siti Internet, ma che in realtà nascondeva, in modo subdolo, un codice dannoso per rubare i dettagli delle carte di credito.

Il falso portale di icon hosting

Proseguendo nello studio, sono emerse ulteriori evidenze. Il dominio sospetto hxxp://myicons [.] net, oltre che essere ospitato su un server con indirizzo IP 83.166.244 [.] 76, già presente in un avviso diramato dalla società di sicurezza Web Sucuri, visualizzava sulla propria pagina, attraverso l’elemento HTML iframe, il contenuto di un sito legittimo http://iconarchive.com:

<iframe src = “http://www.iconarchive.com/” width = “100%”

height = “1015px” frameborder = “0” align = “left”>

In questo falso portale, la presenza dello skimmer digitale sembrava essere nascosta o quanto meno correlata all’utilizzo di un’icona favicon.png raffigurante il logo del CMS Magento (noto open source utilizzato per la creazione di siti e-commerce).

Una qualsiasi piattaforma per il commercio elettronico che avesse caricato tale logo per identificare il proprio branding sulle schede di navigazione dei browser, avrebbe aperto così le porte a questo tipo di attacco.

Infatti, secondo la ricostruzione dei ricercatori di Malwarebytes, il server distribuiva il codice malevolo soltanto nelle pagine che avrebbero dovuto contenere moduli di pagamento.

Avendo escluso l’impiego della steganografia digitale, il server in realtà, se il campo Referer presente nell’header della richiesta HTTP conteneva la parola chiave checkout, non caricava per tali pagine l’icona ma eseguiva, tramite il browser client, un codice javascript creando un form di pagamento falso.

Tale commutazione sovrascriveva l’opzione di acquisto legittima con un menu a tendina ad hoc, allo scopo di rubare i dettagli delle carte di credito degli ignari utenti e trasmetterli verso un sito di esfiltrazione presidiato dai criminal hacker e raggiungibile all’indirizzo psas [.] Pw (IP 83.166.242 [.] 105).

Conclusioni

È consuetudine per i criminal hacker trovare sempre nuovi modi ingannevoli per perpetrare le proprie azioni illecite, in una continua lotta contro chi invece lavora per scoprire le strategie di attacco e fornire nuovi mezzi di difesa.

L’allestimento di siti icons hosting per scopi illeciti, anche se è una tecnica già collaudata da altri gruppi criminali in campagne malvertising, risulta una strategia nuova per la diffusione di digital skimmer.

A fronte di ciò, il potenziale pericolo che un sito Web possa veicolare del codice malevolo è una eventualità da non sottovalutare.

Pertanto, per mitigare i rischi legati a queste tipologie di attacchi è consigliabile:

• in ambito privato e aziendale:

1. avere sistemi antivirus aggiornati che in real-time impediscano l’esecuzione arbitraria di codice sospetto;
2. avere un firewall aggiornato e attivo per la protezione da accessi illegittimi;
3. provvedere periodicamente all’aggiornamento del sistema operativo, del browser e dei relativi plug-in;
4. avere, opzionalmente, un adblocker per il controllo online dell’esecuzione di banner, script e popup;
5. sensibilizzare sull’importanza della sicurezza informatica tramite training formativi di security awareness;

• per chi eroga servizi e accetta pagamenti online:

1. richiedere un certificato SSL/TLS per il proprio dominio;
2. implementare l’autenticazione a più fattori;
3. affidarsi a circuiti di credito affidabili e utilizzare con i clienti metodi di pagamento sicuri e collaudati.