L'ANALISI TECNICA

La nuova frode delle carte di credito: come funziona e come difendersi

Un nuovo tentativo di frode delle carte di credito, messo a punto dal famigerato gruppo di criminal hacker MageCart, è stato scoperto lo scorso mese di febbraio svelando un notevole archivio in cui, oltre ai dati e ai numeri di carte di credito di migliaia di utenti, venivano registrati anche gli e-Commerce dai quali provenivano le vittime. Ecco come funziona la truffa e come difendersi

02 Mar 2020
R
Marco Ramilli

Founder & CEO di Yoroi, Tinexta Group

La frode delle carte di credito continua ad essere una delle principali tecniche criminali utilizzate per colpire le risorse economiche delle vittime e, sempre più spesso, per rubare credenziali di accesso ai siti di e-Commerce.

La carta di credito, d’altronde, offre grande libertà nelle transazioni quotidiane. Consente di effettuare pagamenti rapidi, anticipi di valuta e, spesso, premi che promettono un gradito ritorno economico a chi la usa più di frequente.

Per questi motivi è uno strumento sempre più utilizzato sia nella “real life” sia in quella “online”. Le carte che offrono un accesso diretto al nostro credito diventano perciò uno strumento molto delicato ed importante da proteggere visto che i delinquenti, sempre più di frequente, abbandonano i classici furti fisici per organizzarsi in gruppi operanti sul web come cyber-criminali.

La nuova frode delle carte di credito

Nel mese di febbraio 2020 è stato scoperto un complesso caso di frode di carte di credito, adeguatamente gestito grazie ad alcune complesse analisi ed al pronto intervento delle autorità di polizia.

WHITEPAPER
Una guida per acquisire nuovi clienti con il digital onboarding
Marketing
Trade

L’analisi ha portato ad individuare l’attacco afferente ad un noto gruppo denominato MageCart, ben noto e sfortunatamente molto efficace nell’attuare furti di carte di credito.

Tutto è nato dalla segnalazione di un informatico (D.Bi., per riservatezza) che si accorge come, a seguito di un acquisto su uno specifico sito di e-Commerce, una “chiamata HTML” (POST) veniva effettuata ad un dominio totalmente estraneo al dominio del venditore.

Frode delle carte di credito: il processo di analisi

Il contenuto della richiesta HTTP (o payload) era codificato ma non richiamava nessun pattern noto, mentre una variabile “touch” contenente dati apparentemente cifrati fuoriusciva dalla pagina di checkout.

Ovviamente ogni pagina web necessita di numerosi javascript per funzionare correttamente: basti pensare ad animazioni, colori, funzionalità dinamiche e così via; ma l’invio di dati ad un host con bassa reputazione e non afferente al dominio del venditore desta ampio sospetto.

L’acquirente in tutto questo difficilmente può accorgersi di quello che accade in quanto la chiamata esterna risulta essere silente e nessun browser (con configurazioni standard) emette alcun segnale a riguardo.

Un approfondimento sull’infrastruttura contattata ha mostrato la presenza di un “relay”: in altre parole, la realizzazione di un sistema di “inoltro”, ove il payload proveniente dal sito compromesso veniva preso, elaborato ed inoltrato verso un’altra infrastruttura.

Il codice del relay utilizzato nella frode delle carte di credito.

Ulteriori analisi hanno portato all’individuazione di un sistema di raccolta dati configurato sull’indirizzo https:[//mage——.]su/gate/, il quale utilizzava a sua volta una infrastruttura temporanea di supporto per elaborare i dati prelevati all’ignaro utente.

Tale infrastruttura, a causa di una cattiva configurazione da parte dell’attaccante, lasciava per pochi secondi una traccia codificata in una cartella condivisa, nascosta, ma esposta al pubblico.

Attraverso un semplice script è stato possibile decodificare il contenuto del file temporaneo e venire a conoscenza (a seguito della decodifica su più livelli) di come il sistema fosse stato realizzato e di quali informazioni fossero state prelevate dalle vittime.

Oltre a nomi, cognomi, e-mail, numeri di telefono, numeri di carte di credito (compresi di codici di sicurezza e date di scadenza) venivano registrati gli e-Commerce dai quali provenivano le vittime.

A questo punto è stato possibile risalire ai principali URL compromessi e, grazie all’intervento delle autorità, mettere in sicurezza numerose vittime degli attacchi.

I dettagli dell’analisi completa e la lista degli e-Commerce compromessi in seguito alla nuova frode delle carte di credito è disponibile online.

Come difendersi dalla nuova frode

Per rispondere alla naturale domanda su come proteggere le nostre carte di credito da questa tipologia di frode è importante, a mio parere, dividere la protezione in due macro aree:

lato e-Commerce: tutte le azioni che un operatore di e-Commerce può adottare al fine di limitare un’infezione o un attacco tipo quello descritto;

lato utente: tutte le azioni e gli strumenti che un cliente di un e-Commerce può adottare per limitare di cadere in trappola.

Lato e-Commerce

Il gestore dell’e-Commerce dovrebbe accertarsi che ogni componente utilizzato – come per esempio (ma non limitato a) framework, plugin, temi applicati ed eventuali librerie e/o script di terze parti – sia continuamente aggiornato ed opportunamente organizzato all’interno di cartelle dedicate con permessi minimi per un corretto utilizzo.

È inoltre necessario verificare periodicamente la presenza di script alieni all’interno delle proprie pagine.

Una semplice tecnica da applicare può essere lo studio di “differenze” (nel senso di: diff -ENwbur folder1 folder2) filtrato su particolari keywords come per esempio ‘javascript’ oppure ‘src’.

Verificare se tali scripts cambiano nel tempo oppure se vengono aggiunti o rimossi può essere un ottimo inizio per comprendere una compromissione del proprio sistema.

Un altro approccio potrebbe essere quello di dotarsi di un sistema di scansione di vulnerabilità specifico per CMS (nel caso in cui faccia utilizzo di framework). Ne esistono numerosi opensource ed altrettanti commerciali. Abilitare una scansione settimanale verificando la presenza di eventuali vulnerabilità migliorerebbe il tempismo delle procedure di “fixing” offrendo una più ridotta finestra temporale ad eventuali attaccanti.

Lato utente

Prima di addentrarci nei sistemi di protezione, la migliore strategia in questo caso è sicuramente disaccoppiare la carta di credito dall’accesso diretto al proprio conto corrente.

Questa attività la si può effettuare facilmente attraverso l’utilizzo di una carta prepagata che verrà “caricata” con la massima quantità di denaro che siamo disposti a rischiare in un’eventuale frode online. In questo modo, pur non bloccando né prevenendo la frode, riusciremmo a contenere il rischio all’interno di soglie prestabilite e tollerate a priori.

Un secondo aspetto è quello di verificare costantemente la reputazione dell’e-Commerce. Negozi online ad alta reputazione hanno una probabilità minore di essere compromessi e gli esempi sono diversi: da Amazon ad Alibaba, da eBay a Etsy).

Sebbene la probabilità di essere attaccati sia equivalente (o addirittura superiore) a siti di e-Commerce a bassa reputazione, mediamente i siti più autorevoli investono più degli altri in sicurezza diretta (interna al loro organico) ed indiretta (attraverso fornitori esterni), periodicamente, cercando di garantire la più alta sicurezza possibile nell’esperienza di acquisto.

Utenti più esperti potrebbero poi utilizzare strumenti di blocco di “javascript” ed evitare così molti problemi. Esistono parecchie estensioni gratuite e commerciali per i browser più diffusi che implementano tale funzionalità. Tuttavia, è necessario sapere che l’utilizzo di questi strumenti può rendere la navigazione difficoltosa e talvolta il blocco eccessivo di ‘javascript’ può risultare, nel tempo, irritante.

Conclusioni

Il digitale ci offre grandi opportunità come per esempio visionare molteplici prodotti comodamente da casa, confrontare i beni d’interesse ed assicurarci l’acquisto al miglior prezzo e conoscere le ultime novità riguardo a beni o servizi in tempo reale.

Troviamo, così, molte soluzioni a numerosi bisogni, spesso illudendoci di una falsa sicurezza promessa dall’assenza di fisicità. Spesso, infatti, le persone pensano che l’assenza di corporalità, di massa, di materialità, si traduca in minore pericolosità: “[..] in fondo se non devo camminare alla sera nella via buia per raggiungere il parcheggio della mia auto, non vado incontro a particolari rischi! [..]”.

Fare shopping online sicuramente eviterebbe spiacevoli incontri, ma potenzialmente espone l’acquirente ad altri rischi altrettanto spiacevoli. Soprattutto nel momento in cui si riceve un SMS (o un’e-mail) da parte dell’istituto che ha emesso la nostra carta di credito per una spesa mai effettuata.

Il timore di essere oggetto di una frode silente, il senso di impotenza davanti a questa attività ed il dubbio di “chissà quali altre informazioni possono essere state rubate”, è altrettanto forte e degno di essere evitato. Bisogna fare attenzione.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr