Dati delle carte di credito rubati tramite le immagini presenti sui siti di eCommerce

Dati delle carte di credito rubati tramite le immagini presenti sui siti di eCommerce

Dati delle carte di credito rubati tramite le immagini presenti sui siti di eCommerce: Malwarebytes ha scoperto un nuovo tipo di attacco informatico che permette di catturare i dati delle carte di credito quando inseriti per effettuare un pagamento online.

Ho già parlato in passato di sicurezza informatica e di come controllare che un sito web sia sicuro prima di fare acquisti online.

Questo articolo si ricollega in parte a quello, perchè è stato diffuso da Malwarebytes (una delle aziende più attive nel campo della sicurezza informatica) un comunicato relativo alla diffusione di un nuovo skimmer.

Gli skimmer sono dei dispositivi che, passando al loro interno una carta di credito (o in generale qualsiasi carta che presenta una banda magnetica) riescono ad estrarre ed immagazzinare in una memoria interna tutti i dati.

Questi dispositivi per poter funzionare ovviamente hanno la necessità di venire a contatto con la carta da clonare.

Ma stanno iniziando a diffondersi degli skimmer software, che quindi non hanno più necessità di entrare in contatto con la carta fisica.

Questi skimmer catturano i dati che noi inseriamo in un sito web per effettuare i pagamenti.

Dati delle carte di credito rubati tramite le immagini presenti sui di eCommerce

Nella maggior parte dei casi, ciò avviene su siti web sicuri, e il proprietario del sito spesso è anche ignaro di ciò che sta succedendo.

Capita infatti con siti web che sono stati hackerati o che presentano al loro interno parti di codice ottenuti illegalmente (ad esempio temi o plugin crackati).

Questo nuovo tipo di attacco sfrutta i dati EXIF delle immagini presenti sul sito.

I dati EXIF delle immagini servono a contenere informazioni addizionali sull’immagine

Contengono ad esempio il dispositivo che ha scattato la foto, la località in cui è stata scattata, le impostazioni del dispositivo, il copyright ecc).

Sembrerebbe che inserendo un codice Javascript proprio nei dati EXIF delle immagini, questo codice venga eseguito e i dati della propria carta inviati agli autori del codice e a decine di altri database (che poi probabilmente li rivenderanno o invieranno ad altri gruppi).

Come proteggersi?

Per assicurarsi una protezione totale da questi tipi di attacchi serve un intervento da entrambe le parti.

Quindi sia da parte dell’utente che si collega al sito per acquistare, sia del proprietario del sito.

Vediamo quindi ognuno cosa può fare.

Come proteggersi – Utenti

Il primo passo ovviamente è assicurarci che il sito sia legale, e per farlo è possibile seguire il mio precedente articolo (linkato ad inizio articolo).

Ma non sempre questo ci garantisce che il sito non sia stato attaccato.

Per un’ulteriore sicurezza è fondamentale avere un antivirus che blocchi pagine web e javascript ritenuti malevoli.

Ovviamente la versione a pagamento di Malwarebytes lo fa (quella gratuita non ha la protezione in tempo reale, quindi non protegge da siti web pericolosi).

Il software che utilizzo io e che vi consiglio è Eset Internet Security, che ha un alto livello di sicurezza sul web e blocca immediatamente qualsiasi sito con file javascript ritenuto poco sicuro.

Nel mio caso utilizzo Windows, ma Eset ha un’alternativa anche per Mac e Android e Linux.

Infatti un errore che si fa spesso è quello di pensare che il proprio dispositivo sia sicuro perché non si utilizza Windows.

In realtà non è cosi, in passato lo era, perché Windows era il sistema operativo più diffuso, gli altri erano cosi poco utilizzati che non c’era motivo per attaccarli.

Ora che c’è un maggiore utilizzo degli altri sistemi operativi, c’è anche più interesse nel colpirli.

Infatti nell’ultimo anno gli utenti Mac sono stati più colpiti da Malware rispetto agli utenti Windows.

Quindi se non si ha un antivirus sul proprio dispositivo, non si è protetti neanche da questo tipo di attacchi.

Se possibile poi sarebbe meglio usare una carta prepagata, che non preleva direttamente soldi dal proprio conto.

Oppure utilizzare PayPal, che non mostra i dati delle proprie carte e si è ancora più protetti.

Come proteggersi – Gestori dei siti web

La responsabilità maggiore, e chi quindi deve assicurarsi che il proprio sito sia sicuro, è proprio del gestore del sito.

Infatti è il gestore che deve garantire agli utenti che il proprio sito è sicuro e quindi non attaccabile.

Infatti se una persona dopo aver fatto un acquisto su un sito, vedrà i dati della proprio carta rubati, tenderà a fidarsi meno di quel sito (anzi per niente).

Quindi ci si rimette in immagine.

Da gestori di siti web con un eCommerce quindi è fondamentale assicurarsi che:

  • Non siano presenti elementi illegali sul proprio sito (quindi niente temi o plugin scaricati illegalmente se si usa ad esempio WordPress o Joomla)
  • Sia presente un plugin per la sicurezza (per WordPress ad esempio Wordfence Security) che protegge da eventuali attacchi informatici e controlla che i file sul sito non siano infetti da virus
  • Utilizzare un plugin che rimuove i dati EXIF dalle immagini (questo viene fatto già da tempo per migliorare la velocità di caricamento delle immagini, ma ora questo migliora anche la sicurezza del sito)
  • Assicurarsi di avere una password di amministrazione difficile da individuare (se possibile attivare anche l’autenticazione a 2 fattori)

Chi ha un sito di eCommerce gestisce i dati sensibili dei propri clienti e non dovrebbe prendere alla leggera la cosa, quindi è fondamentale fare tutto il possibile per rendere sicuro il proprio sito web.

Link articolo originale di Malwarebytes (in inglese).

author avatar
Claudio Masci
Sono innanzitutto un appassionato di informatica e tecnologia in generale. Lavoro in ambito informatico da circa 16 anni, spaziando in diversi campi, andando dalla programmazione web, allo sviluppo di software, dalla grafica alla modellazione 3d ed al video editing, ho sempre voluto approfondire ogni aspetto e questo mi ha permesso di lavorare in diversi ambiti informatici.