Magecart, attacchi in vista per Black Friday e Cyber Monday

Gli attacchi di tipo Magecart proliferano in maniera incontrollata, soprattutto in periodi di shopping online senza freni come quello che intercorre tra Black Friday e Cyber Monday.

Oggi è il Black Friday e lunedì prossimo sarà il Cyber Monday, giorni in cui i consumatori si accalcano per la tradizionale corsa agli acquisti con i falsi sconti. Occasioni di spesa che, quest’anno più che negli anni precedenti, avverranno prevalentemente online prestando il fianco a una minaccia informatica nota come Magecart.

A evidenziare i rischi di Magecart è una press release di Juniper Networks, multinazionale specializzata in apparati di rete che mette in guardia utenti e aziende. Un attacco Magecart consiste nell’uso di uno script malevolo (in genere JavaScript) in grado di rubare i dati della carta di credito, una minaccia sempre più concreta e diffusa in un mondo che trasferisce buona parte dello shopping non essenziale sul Web.

Breccia di Sicurezza

La necessità di garantire uno strumento di acquisto telematico spinge le aziende a usare plug-in esterni, sottolinea Juniper, e in genere la catena di fornitori di tali plug-in è vastissima e non è controllata (né controllabile) in maniera adeguata alla ricerca di rischi e vulnerabilità. Le fonti di codice esterno (JavaScript, CSS) di un rivenditore online sono in media 39-40, e i test standard disponibili sul mercato non sono sufficienti a evidenziare tutti i potenziali pericoli presenti all’interno di questa massa di script fuori controllo.

Juniper cita il “carrello” di Magento e i server per l’advertising esterni come esempi di plug-in che prestano il fianco all’iniezione di codice malevolo, fornendo altresì alcuni consigli utili sia alle aziende che agli utenti. Gli e-retailer possono usare una tecnica come Subresource Integrity per verificare l’integrità dei contenuti esterni, implementare policy di sicurezza (supportate da browser e Web server) e magari richiedere un audit del loro codice a professionisti specializzati.

Agli utenti finali, invece, occorre valutare se sia opportuno o meno registrare un account per ogni singolo sito su cui effettuano (o vogliono effettuare) acquisti, o anche riflettere se usare l’autenticazione con le credenziali di Google o altri social sui siti di terze parti. Tenere traccia dei propri acquisti e controllare spesso la carta di credito è altresì un metodo efficace per combattere le eventuali truffe a base di Magecart.

PCProfessionale © riproduzione riservata.
Ha avuto il suo incontro fatale con la tecnologia negli anni '80, prima con i giochi arcade e poi con l'Intellivision di Mattel, e da allora la passione è andata solo aumentando. Quando non passa il proprio tempo a consumare notizie sull'attualità informatica ama leggere (su carta), scrivere, fotografare e collezionare vecchi libri sui sistemi operativi obsoleti.