In questo singolare 2020, i siti di e-commerce e i retailer saranno pesantemente a rischio di attacchi Magecart, uno script che consente di rubare i dati delle carte di credito.
Quest’anno Magecart rappresenta una minaccia più pericolosa che mai, sia perché molti consumatori si sono convertiti all’online, facendone crescere i volumi, sia perché, nella foga di introdurre nuovi servizi in rete e da “asporto” nell’intento di far fronte alle limitazioni dovute alla pandemia, sono stati aggiunti moltissimi plug-in e funzionalità via API, esponendo così molti siti a nuove potenziali vulnerabilità. I fornitori di plug-in per i siti web rappresentano tra l’altro una supply chain vasta, non monitorata e tutt’altro che impermeabile alla perdita di dati sensibili nella maggior parte dei casi.
Per molte delle aziende tradizionali con una presenza online, il sito non è poi la priorità principale e questo gioca a favore di attacchi di tipo Magecart, nel cui mirino sono finite anche le pubbliche amministrazioni, dalle quali vengono rubati dati come credenziali, codici fiscali e altre informazioni personali.
Con l’aiuto degli esperti di Juniper Networks, leader nelle reti sicure basate su AI, scopriamo quali sono i principali aspetti da non sottovalutare:
- Il sito di un retailer online ha in media 39-40 fonti esterne di Javascript, senza considerare la parte di codice CSS. Nella maggior parte dei casi nessuno tiene traccia di chi li ha aggiunti e perché e in seguito a quale processo di valutazione, ammesso che ne esista uno.
- L’ecosistema del sito web si espande continuamente, creando una pantagruelica catena di funzionalità di cui nessuno tiene traccia. Questo problema è molto più ampio di quanto il proprietario del dominio possa tenere sotto controllo autonomamente.
- La scansione delle vulnerabilità non è in grado di rilevare tutti i tipi di attacchi che Magecart è in grado di utilizzare.
- Delle quattro tecniche di iniezione di codice malevolo, tre sfruttano il collegamento con funzionalità di terze parti e solo una l’iniezione diretta di codice.
- Penetration test periodici del sito e audit del codice sorgente sono certamente necessari, ma in genere chi costruisce fisicamente il sito non pensa che questa sia una sua responsabilità.
Tra gli esempi di plug-in che espongono molti dei principali siti mondiali di e-commerce all’iniezione di codice vi sono:
- Lo “shopping cart” come quello del diffusissimo Magento (piattaforma di e-commerce open source): quando plug-in come “valuta questo acquisto” si palesano nella pagina del pagamento possono essere veicolo di iniezioni di Javascript.
- Ads server: i messaggi pubblicitari non sono ben monitorati e sono spesso sfruttati per l’iniezione di codice.
I consigli di Juniper Networks per il Black Friday e il Cyber Monday
Cosa fare dunque? In vista degli imminenti acquisti del Black Friday e Cyber Monday, gli esperti di Juniper Networks propongono alcune soluzioni possibili per le aziende e dei semplici suggerimenti per i consumatori per tutelarsi dagli attacchi Magecart.
Per le aziende
- Sub Resource Integrity (SRI): questo strumento garantisce che il contenuto del sito non venga modificato nel percorso tra il server e il browser assicurandone l’integrità.
- Content Security Policies: sono policy supportate da browser e web server che consentono di indicare quali sono gli unici domini a cui è permesso lanciare script eseguibili per conto del sito. Nel caso di un retailer, le regole dovrebbero autorizzare solo i pochi domini approvati, chiudendo molti dei pertugi che Magento usa per infiltrare Javascript.
- Le aziende devono identificare tutti i provider terzi e gli utenti pubblicitari con cui lavorano e assicurarsi che eseguano audit e autovalutazioni periodici:
- il modo migliore consiste nel richiedere un audit del loro codice da parte di un’entità fidata;
- poi, per evitare le “supply chain injection” (gli attacchi che sfruttano una chiamata di codice di una terza parte), l’azienda stessa deve – per quanto possibile – “ospitare” quel codice localmente e non farsi allettare dalla semplicità dell’inclusione attraverso una chiamata remota. Successivamente, deve installare regolarmente le patch di sicurezza;
- testare tutto, ad esempio iniettando il proprio codice Javascript nel browser e vedere cosa succede, ricorrendo a tool specifici per questo tipo di verifiche;
- assicurarsi che gli scanner (di vulnerabilità) abbiano accesso ai flussi critici, come ad esempio i carrelli virtuali;
- virtualizzazione Javascript: tenere d’occhio le performance, dato che la lentezza potrebbe andare a scapito degli obiettivi generali dell’azienda.
Con questo tipo di attacchi, il problema principale è rappresentato dalle persone. Non parliamo di utenti e consumatori, ma delle stesse organizzazioni. Le aziende tendono, infatti, a non considerare la gran quantità di plug-in di terze parti non gestite come possibili vulnerabilità, perpetuando il problema.
Per i consumatori
Ecco tre semplici regole che tutti i consumatori dovrebbero seguire per non cadere in trappola di attacchi Magecart indesiderati:
- Non registrarsi a ogni costo su ogni sito: non è sempre necessario affidare a tutti i propri dati personali o di pagamento.
- Prima di effettuare l’autenticazione con le credenziali Google o altri account social rifletterci bene perché, così facendo, vengono cedute molte più informazioni di quanto non si creda.
- Sebbene non sia facile ormai ricordare tutti i siti che si usano, cercare di tracciare quelli che si utilizzano per la prima volta o a cui si accede di rado, tenendo sempre sotto controllo la carta di credito.