Gli script dedicati al furto di carte di credito si stanno evolvendo e diventano sempre più difficili da rilevare a causa di nuove e invisibili tattiche di attacco. Uno degli ultimi esempi è uno skimmer Web che utilizza il codice CSS (Cascading Style Sheets) per mimetizzarsi all’interno delle pagine di un store online compromesso e per rubare le informazioni personali e di pagamento dei clienti. Nascondendo il loro script per il furto delle informazioni di pagamento all’interno dei fogli di stile CSS, i creatori di questo skimmer bypassano con successo il rilevamento da parte di scanner di sicurezza automatizzati e riescono a fare in modo che non si attivino dei flag anche con eventuali controlli manuali del codice. I file CSS sono quelli che forniscono ai siti Web la capacità di aggiungere uno stile (per esempio, caratteri, colori e spaziatura) ai documenti Web utilizzando una raccolta di regole
IL CODICE DELLO SCRIPT
Questo skimmer per carte di credito (noto anche come script Magecart) è stato scoperto dai ricercatori della società olandese di sicurezza informatica Sansec, in tre diversi store online. Da quando è stato individuato, si sono visti vari usi “sperimentali” dello script, con tecniche progressivamente più avanzate per iniettare i propri script dannosi ed esfiltrare le informazioni sulle carte di pagamento dei clienti.
Guardate [figura #1].css injection
scoperto con metodi convenzionali. Per meglio comprendere l’analisi di rischio, in [figura #3] trovate la sintassi che utilizzano i criminali informatici per iniettare Magecart sulle icone social. La sintassi per nascondere il codice sorgente dello skimmer come pulsante di social media imita perfettamente un elemento “svg” denominato utilizzando i nomi di piattaforme di social media (per esempio, facebook, twitter, instagram, youtube, pinterest e google).Un decoder separato distribuito sul server del sito di e-commerce viene utilizzato per estrarre ed eseguire il codice. Questa tattica aumenta le possibilità di evitare il rilevamento anche se viene identificato uno dei due componenti del malware, poiché il loader del malware stesso non è necessariamente archiviato nella stessa posizione del payload dello skimmer e il loro vero scopo potrebbe eludere un’analisi superficiale.
COME DIFENDERSI
L’attacco, oltre ad essere molto sofisticato, prevede l’injection tramite backdoor inclusive o phising. Di seguito alcuni consigli su come proteggere la propria rete. La vostra organizzazione dovrebbe implementare al meglio la sicurezza basandosi su un approccio a più livelli di protezione, nonché, aggiornando proattivamente e regolarmente qualsiasi sicurezza obsoleta dispositivi.
1.Scansione regolare del sito
Eseguire una scansione del
sito per monitorare i servizi
in esecuzione sul sito che include
il test di qualsiasi nuovo
aggiornamento per rilevare
eventuali comportamenti
sospetti.
2.Osservazione del traffico del sito
Monitoraggio del traffico del sito,
in tempo reale per identificare
eventuali modelli sospetti
o modificati di recente.
4.Autorizzazioni a terzi
Consentire l’accesso solo
a servizi di terze parti affidabili
creando un elenco di
autorizzazioni e un elenco
di blocchi.