La frode delle carte di credito continua ad essere una delle principali tecniche criminali utilizzate per colpire le risorse economiche delle vittime e, sempre più spesso, per rubare credenziali di accesso ai siti di e-Commerce.
La carta di credito, d’altronde, offre grande libertà nelle transazioni quotidiane. Consente di effettuare pagamenti rapidi, anticipi di valuta e, spesso, premi che promettono un gradito ritorno economico a chi la usa più di frequente.
Per questi motivi è uno strumento sempre più utilizzato sia nella “real life” sia in quella “online”. Le carte che offrono un accesso diretto al nostro credito diventano perciò uno strumento molto delicato ed importante da proteggere visto che i delinquenti, sempre più di frequente, abbandonano i classici furti fisici per organizzarsi in gruppi operanti sul web come cyber-criminali.
Indice degli argomenti
La nuova frode delle carte di credito
Nel mese di febbraio 2020 è stato scoperto un complesso caso di frode di carte di credito, adeguatamente gestito grazie ad alcune complesse analisi ed al pronto intervento delle autorità di polizia.
L’analisi ha portato ad individuare l’attacco afferente ad un noto gruppo denominato MageCart, ben noto e sfortunatamente molto efficace nell’attuare furti di carte di credito.
Tutto è nato dalla segnalazione di un informatico (D.Bi., per riservatezza) che si accorge come, a seguito di un acquisto su uno specifico sito di e-Commerce, una “chiamata HTML” (POST) veniva effettuata ad un dominio totalmente estraneo al dominio del venditore.
Frode delle carte di credito: il processo di analisi
Il contenuto della richiesta HTTP (o payload) era codificato ma non richiamava nessun pattern noto, mentre una variabile “touch” contenente dati apparentemente cifrati fuoriusciva dalla pagina di checkout.
Ovviamente ogni pagina web necessita di numerosi javascript per funzionare correttamente: basti pensare ad animazioni, colori, funzionalità dinamiche e così via; ma l’invio di dati ad un host con bassa reputazione e non afferente al dominio del venditore desta ampio sospetto.
L’acquirente in tutto questo difficilmente può accorgersi di quello che accade in quanto la chiamata esterna risulta essere silente e nessun browser (con configurazioni standard) emette alcun segnale a riguardo.
Un approfondimento sull’infrastruttura contattata ha mostrato la presenza di un “relay”: in altre parole, la realizzazione di un sistema di “inoltro”, ove il payload proveniente dal sito compromesso veniva preso, elaborato ed inoltrato verso un’altra infrastruttura.
Il codice del relay utilizzato nella frode delle carte di credito.
Ulteriori analisi hanno portato all’individuazione di un sistema di raccolta dati configurato sull’indirizzo https:[//mage——.]su/gate/, il quale utilizzava a sua volta una infrastruttura temporanea di supporto per elaborare i dati prelevati all’ignaro utente.
Tale infrastruttura, a causa di una cattiva configurazione da parte dell’attaccante, lasciava per pochi secondi una traccia codificata in una cartella condivisa, nascosta, ma esposta al pubblico.
Attraverso un semplice script è stato possibile decodificare il contenuto del file temporaneo e venire a conoscenza (a seguito della decodifica su più livelli) di come il sistema fosse stato realizzato e di quali informazioni fossero state prelevate dalle vittime.
Oltre a nomi, cognomi, e-mail, numeri di telefono, numeri di carte di credito (compresi di codici di sicurezza e date di scadenza) venivano registrati gli e-Commerce dai quali provenivano le vittime.
A questo punto è stato possibile risalire ai principali URL compromessi e, grazie all’intervento delle autorità, mettere in sicurezza numerose vittime degli attacchi.
I dettagli dell’analisi completa e la lista degli e-Commerce compromessi in seguito alla nuova frode delle carte di credito è disponibile online.
Come difendersi dalla nuova frode
Per rispondere alla naturale domanda su come proteggere le nostre carte di credito da questa tipologia di frode è importante, a mio parere, dividere la protezione in due macro aree:
lato e-Commerce: tutte le azioni che un operatore di e-Commerce può adottare al fine di limitare un’infezione o un attacco tipo quello descritto;
lato utente: tutte le azioni e gli strumenti che un cliente di un e-Commerce può adottare per limitare di cadere in trappola.
Lato e-Commerce
Il gestore dell’e-Commerce dovrebbe accertarsi che ogni componente utilizzato – come per esempio (ma non limitato a) framework, plugin, temi applicati ed eventuali librerie e/o script di terze parti – sia continuamente aggiornato ed opportunamente organizzato all’interno di cartelle dedicate con permessi minimi per un corretto utilizzo.
È inoltre necessario verificare periodicamente la presenza di script alieni all’interno delle proprie pagine.
Una semplice tecnica da applicare può essere lo studio di “differenze” (nel senso di: diff -ENwbur folder1 folder2) filtrato su particolari keywords come per esempio ‘javascript’ oppure ‘src’.
Verificare se tali scripts cambiano nel tempo oppure se vengono aggiunti o rimossi può essere un ottimo inizio per comprendere una compromissione del proprio sistema.
Un altro approccio potrebbe essere quello di dotarsi di un sistema di scansione di vulnerabilità specifico per CMS (nel caso in cui faccia utilizzo di framework). Ne esistono numerosi opensource ed altrettanti commerciali. Abilitare una scansione settimanale verificando la presenza di eventuali vulnerabilità migliorerebbe il tempismo delle procedure di “fixing” offrendo una più ridotta finestra temporale ad eventuali attaccanti.
Lato utente
Prima di addentrarci nei sistemi di protezione, la migliore strategia in questo caso è sicuramente disaccoppiare la carta di credito dall’accesso diretto al proprio conto corrente.
Questa attività la si può effettuare facilmente attraverso l’utilizzo di una carta prepagata che verrà “caricata” con la massima quantità di denaro che siamo disposti a rischiare in un’eventuale frode online. In questo modo, pur non bloccando né prevenendo la frode, riusciremmo a contenere il rischio all’interno di soglie prestabilite e tollerate a priori.
Un secondo aspetto è quello di verificare costantemente la reputazione dell’e-Commerce. Negozi online ad alta reputazione hanno una probabilità minore di essere compromessi e gli esempi sono diversi: da Amazon ad Alibaba, da eBay a Etsy).
Sebbene la probabilità di essere attaccati sia equivalente (o addirittura superiore) a siti di e-Commerce a bassa reputazione, mediamente i siti più autorevoli investono più degli altri in sicurezza diretta (interna al loro organico) ed indiretta (attraverso fornitori esterni), periodicamente, cercando di garantire la più alta sicurezza possibile nell’esperienza di acquisto.
Utenti più esperti potrebbero poi utilizzare strumenti di blocco di “javascript” ed evitare così molti problemi. Esistono parecchie estensioni gratuite e commerciali per i browser più diffusi che implementano tale funzionalità. Tuttavia, è necessario sapere che l’utilizzo di questi strumenti può rendere la navigazione difficoltosa e talvolta il blocco eccessivo di ‘javascript’ può risultare, nel tempo, irritante.
Conclusioni
Il digitale ci offre grandi opportunità come per esempio visionare molteplici prodotti comodamente da casa, confrontare i beni d’interesse ed assicurarci l’acquisto al miglior prezzo e conoscere le ultime novità riguardo a beni o servizi in tempo reale.
Troviamo, così, molte soluzioni a numerosi bisogni, spesso illudendoci di una falsa sicurezza promessa dall’assenza di fisicità. Spesso, infatti, le persone pensano che l’assenza di corporalità, di massa, di materialità, si traduca in minore pericolosità: “[..] in fondo se non devo camminare alla sera nella via buia per raggiungere il parcheggio della mia auto, non vado incontro a particolari rischi! [..]”.
Fare shopping online sicuramente eviterebbe spiacevoli incontri, ma potenzialmente espone l’acquirente ad altri rischi altrettanto spiacevoli. Soprattutto nel momento in cui si riceve un SMS (o un’e-mail) da parte dell’istituto che ha emesso la nostra carta di credito per una spesa mai effettuata.
Il timore di essere oggetto di una frode silente, il senso di impotenza davanti a questa attività ed il dubbio di “chissà quali altre informazioni possono essere state rubate”, è altrettanto forte e degno di essere evitato. Bisogna fare attenzione.
