Persino sulle pagine di errore 404 ti possono rubare la carta di credito

I ricercatori di cybersicurezza dell'Akamai Security Intelligence Group hanno portato alla luce un'astuta campagna di skimming di carte di credito chiamata Magecart, la quale sfrutta le pagine di errore 404 sui siti web dei rivenditori online.

Valerio Lollini 1 anno ago 2 min read

Le pagine di errore 404 sono quelle che vengono visualizzate quando gli utenti tentano di accedere a link inesistenti, spostati o rotti. In genere, queste pagine sono semplici e non contengono informazioni sensibili. Tuttavia, gli hacker hanno trovato un modo per sfruttare le pagine di errore 404 per rubare i dati delle carte di credito.

Come funziona l’attacco

Gli hacker caricano codice malevolo sulla pagina di errore 404. Questo codice, noto come skimmer, si attiva quando l’utente inserisce informazioni sensibili, come il numero di carta di credito, la data di scadenza e il codice di sicurezza. Lo skimmer cattura queste informazioni e le invia all’hacker.

Attacco Magecart: come proteggere i tuoi dati

L’attacco Magecart è un tipo di attacco informatico che mira ai siti di e-commerce iniettando codice dannoso nelle pagine dei pagamenti con cui i criminali possono rubare i dati delle carte dei credito degli utenti inseriti nel modulo HTML.

Come funziona

Gli hacker sfruttano vulnerabilità nei siti web o infettano i servizi di terze parti utilizzati da questi siti web per inserire codice malevolo nelle pagine dei pagamenti. Questo codice, noto come skimmer, si attiva quando l’utente inserisce informazioni sensibili, come il numero di carta di credito, la data di scadenza e il codice di sicurezza. Lo skimmer cattura queste informazioni e le invia all’hacker.

Lo skimmer loader utilizza trucchi intelligenti per eludere il rilevamento. Si camuffa come uno snippet di codice Meta Pixel o si nasconde all’interno di script inline casuali già presenti nella pagina web di checkout compromessa. Il caricatore avvia una richiesta di fetch verso un percorso inesistente, con conseguente errore “404 Not Found”.

Tuttavia, gli investigatori di Akamai hanno scoperto una corrispondenza regolare all’interno del caricatore che cerca una stringa specifica nell’HTML restituito della pagina 404. Una volta individuata la stringa, Akamai ha trovato una stringa concatenata con codifica base64 nascosta in un commento. La decodifica di questa stringa ha rivelato lo skimmer JavaScript, che è nascosto in tutte le pagine 404. Gli aggressori sono riusciti ad alterare la pagina di errore predefinita per l’intero sito web, camuffando il codice dannoso al suo interno.