Il 9 ottobre scorso l’e-commerce che vende il merchandise ufficiale di Sesame Street (il programma televisivo dei famosi pupazzi Muppet che dagli Anni 60 fanno divertire i bambini di tutto il mondo) è stato attaccato e infettato da MageCart.
Indice degli argomenti
MageCart: il gruppo hacker che colpisce l’e-commerce
MageCart – letteralmente “Il carrello dei Maghi” – è il nome coniato per il gruppo di hacker che, negli ultimi anni, ha utilizzato uno specifico modus operandi per rubare i dati relativi alle carte di credito di acquirenti di e-commerce che erano stati precedentemente resi vulnerabili.
E non stiamo parlando di piccoli e-commerce, ma di siti web di colossi quali British Airways, Newegg, Ticketmaster, il negozio online della Baseball Hall of Fame e diverse catene alberghiere internazionali.
MageCart ha rubato dati relativi alle carte di credito per quasi un decennio e “vanta” almeno due attacchi ad alto profilo messi a segno solo negli ultimi due mesi.
Tra gli obiettivi più comuni e “gettonati” ci sono gli Amazon S3 Buckets (un servizio di storage di oggetti che le aziende di ogni dimensione possono utilizzare per archiviare e proteggere una qualsiasi quantità di dati per una vasta gamma di casi d’uso, dai siti Web alle analisi di big data) non configurati correttamente.
I gruppi MageCart hanno sviluppato processi automatizzati per comprometterli, in quanto i repository di dati cloud configurati in modo errato sono dello stesso tipo che hanno portato a miliardi di record di database trapelati.
Secondo RiskIQ (famosa società di sicurezza informatica con sede a San Francisco, in California) è proprio utilizzando questo approccio che sono stati compromessi più di 17.000 domini, alcuni dei quali rientrano tra i primi 2.000 nelle classifiche di Alexa.
La società attribuisce il 17% di tutti gli annunci online dannosi (o malvertisement) direttamente a MageCart.
Nel suo rapporto, RiskIQ afferma che “MageCart è ora così onnipresente che la sua infrastruttura sta inondando Internet“. È noto che dozzine di diversi gruppi di hacking stanno distribuendo il malware e ci sono quasi 600 nomi di dominio collegati ai server di comando e controllo di MageCart.
Cosa succede, poi, ai domini colpiti, ormai inutilizzabili? Presto detto: vengono occupati e infettati per convincere, attraverso annunci dannosi, il prosieguo dell’utilizzo degli stessi per rubare altri dati sensibili.
Questo “riciclo” secondario continua a danneggiare il web per molto tempo dopo che un’infezione da MageCart ha fatto il suo corso, rendendola di fatto una delle minacce più persistenti e devastanti dei giorni nostri.
Web skimming: la tecnica di attacco di MageCart
La tecnica di attacco adottata dal gruppo MageCart è nota come web skimming: è uno specifico attacco informatico in cui gli aggressori riescono a rubare i dettagli delle carte di credito degli acquirenti direttamente dai siti Web di e-commerce compromesso da un malevolo codice Javascript.
In pratica, gli aggressori possono acquisire informazioni sensibili da moduli di pagamento online, come indirizzi e-mail, password e numeri di carte di credito.
Una volta ottenuto l’accesso al sito web, attraverso il codice Javascript malevolo i dati possono essere scaricati o indirizzati dove l’hacker preferisce.
Gli autori delle minacce MageCart di solito sfruttano i difetti di sicurezza nei negozi self-host per impiantare script di skimming che consentono di rubare i dettagli delle carte di credito degli acquirenti.
Tuttavia, a volte gli hacker riescono anche a infiltrarsi direttamente in piattaforme basate su cloud (come Volusion) o in quelle di aziende che forniscono pubblicità, analisi o altri servizi ai negozi online.
Le violazioni di MageCart possono essere difficili da rilevare poiché molte aziende non sono consapevoli del fatto che i loro server siano stati compromessi dagli aggressori.
Ciò consente agli hacker di restare latenti ma attivi per settimane o addirittura mesi e anni senza essere scoperti, visto che le modifiche al codice JavaScript sono impercettibili e difficili da individuare.
Tuttavia, le organizzazioni possono implementare strumenti automatizzati per scansionare regolarmente le pagine sensibili per eventuali piccole modifiche non approvate.
Come difendere il proprio e-commerce da questa minaccia
Non è una rarità che, ad oggi, la maggior parte dei siti web siano funzionanti grazie a righe di codice provenienti da diversi autori, spesso copiati direttamente da siti repositories esterni.
Molti clienti non sono pienamente consapevoli del fatto che quando si integra del codice non proprietario (quindi non sviluppato internamente), scritto da altre società/persone, lo script che viene inserito acquisisce lo stesso potere esecutivo del resto del codice con cui è formato il sito, compresa la possibilità di contenere del codice utile a dare l’accesso a malevoli terze parti, dando l’opportunità di visualizzare messaggi degli utenti, dati sensibili ed avere persino la possibilità di reindirizzare l’utente su un altro sito.
Il consiglio preventivo migliore è dunque quello di utilizzare solo codice affidabile sul proprio sito web o, in alternativa, di verificare minuziosamente quando viene scaricato ed inserito materiale da terze parti, che sia codice Javascript o plugin che aggiungono funzioni ai CMS.
È molto importante, inoltre, individuare e correggere eventuali vulnerabilità del sito stesso.
Consigli pratici per gli utenti dell’e-commerce
Nonostante i proprietari degli e-commerce siano sicuramente sensibili alla soddisfazione e sicurezza del Cliente, l’utente finale non dovrebbe mai pensare che il mantenimento della propria incolumità sia un onere esclusivo di chi fornisce il servizio.
Ci sono molte modalità che permettono una sicurezza aggiuntiva nei metodi di pagamento, come banalmente quella di utilizzare delle carte ricaricabili dalla liquidità limitata, utilizzare sistemi di pagamento che generano numeri univoci per ogni transazione, come ad esempio Apple Pay, e controllare periodicamente (o, meglio ancora, impostando un alert SMS) le transazioni eseguite.
I dati sensibili sono preziosi e, nonostante gli attacchi volti a trafugare gli stessi siano in aumento costante, ogni individuo ha la possibilità di essere attivamente sensibile e scrupoloso a livello personale, grazie alla giusta conoscenza e consapevolezza; con un comportamento virtuoso possiamo percepire e rendere il web un posto più sicuro.
