I ricercatori hanno monitorato una campagna Magecart che prende di mira diversi importanti fornitori di servizi di pagamento, tra cui American Express, Diners Club, Discover e Mastercard.
Magecart è un termine generico che indica gruppi criminali specializzati nel furto di dati di pagamento dalle pagine di checkout online utilizzando JavaScript dannoso, una tecnica nota come web skimming.
All'inizio, Magecart era una coalizione informale di autori di minacce che prendevano di mira i negozi online basati su Magento. Oggi, il nome è usato in modo più ampio per descrivere le operazioni di web skimming contro molte piattaforme di e-commerce. In questi attacchi, i criminali inseriscono JavaScript nelle pagine di checkout legittime per catturare i dati delle carte di credito e i dettagli personali degli acquirenti mentre li inseriscono.
La campagna descritta dai ricercatori è attiva dall'inizio del 2022. È stata individuata una vasta rete di domini collegati a un'operazione di skimming di carte di credito di lunga durata e ampia portata.
"Questa campagna utilizza script che prendono di mira almeno sei principali fornitori di reti di pagamento: American Express, Diners Club, Discover (una consociata di Capital One), JCB Co., Ltd., Mastercard e UnionPay. Le organizzazioni aziendali che sono clienti di questi fornitori di servizi di pagamento sono quelle che rischiano maggiormente di essere colpite".
Gli hacker solitamente inseriscono i web skimmer nei siti di e-commerce sfruttando le vulnerabilità delle catene di approvvigionamento, degli script di terze parti o dei siti stessi. Per questo motivo, i proprietari dei negozi online devono stare sempre all'erta, aggiornando i sistemi e monitorando il loro sistema di gestione dei contenuti (CMS).
I web skimmer solitamente si inseriscono nel flusso di checkout utilizzando JavaScript. Sono progettati per leggere i campi dei moduli contenenti numeri di carta, date di scadenza, codici di verifica della carta (CVC) e dettagli di fatturazione o spedizione, quindi inviano tali dati agli aggressori.
Per evitare di essere individuato, il JavaScript è fortemente offuscato e può persino attivare una routine di autodistruzione per rimuovere lo skimmer dalla pagina. Ciò può far sì che le indagini condotte tramite una sessione amministrativa non destino sospetti.
Oltre ad altri metodi per rimanere nascosta, la campagna utilizza un hosting a prova di proiettile per garantire un ambiente stabile. Per hosting a prova di proiettile si intendono servizi di web hosting progettati per proteggere i criminali informatici ignorando deliberatamente le segnalazioni di abuso, le richieste di rimozione e le azioni delle forze dell'ordine.
Come stare al sicuro
Le campagne Magecart colpiscono tre gruppi: clienti, commercianti e fornitori di servizi di pagamento. Poiché gli skimmer web operano all'interno del browser, sono in grado di aggirare molti dei tradizionali controlli antifrode lato server.
Sebbene gli acquirenti non possano riparare autonomamente le pagine di checkout compromesse, possono ridurre la loro esposizione e migliorare le loro possibilità di individuare tempestivamente le frodi.
Alcune cose che puoi fare per proteggerti dal rischio degli skimmer web:
- Utilizza carte virtuali o monouso per gli acquisti online, in modo che qualsiasi numero di carta sottratto abbia una durata e un limite di spesa limitati.
- Se possibile, attiva gli avvisi sulle transazioni (SMS, e-mail o notifiche push dell'app) per l'attività della carta e controlla regolarmente gli estratti conto per individuare rapidamente eventuali addebiti non richiesti.
- Utilizza password complesse e uniche sui portali bancari e delle carte di credito, in modo che gli hacker non possano facilmente passare dai dati delle carte rubate al controllo totale dell'account.
- Utilizza una soluzione di protezione web per evitare di collegarti a domini dannosi.
Consiglio dell'esperto: Malwarebytes Browser Guard è gratuito e blocca siti e script dannosi noti.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
