1200 siti web corrotti per rubare carte di credito: 31 sono domini italiani

Un ricercatore di sicurezza ha individuato in meno di due settimane circa 1.200 domani infettati con stealer per il furto dati di carte di credito: un rischio, questo, molto diffuso e che conferma come MageCart continui ad essere la minaccia prevalente per quegli utenti abituati a frequentare shop online poco sicuri.

MageCart è un gruppo di hacker individuato già una decina di anni fa: inizialmente facevano piccoli attacchi, ma negli ultimi due anni il livello è salito molto. I loro attacchi hanno iniziato a colpire obiettivi sempre più di peso, per lasciare "sul campo" vittime eccellenti come Biritish Airways, Ticketmaster, OXO ecc... Da allora, i sistemi automatizzati messi in campo per rilevare questo specifico tipo di minaccia, hanno individuato e continuano a individuare centinaia di migliaia di sitiweb contenenti il Javascript dannoso che utilizza questo gruppo e che ha un solo scopo: ruibare i dati delle carte degli acquirenti. 

L'ultima ricerca: 200 alert inviati, nessuna risposta

Usando tool disponibili gratuitamente, il ricercatore di sicurezza Max Kersten ha stilato una lista di 1.236 domini colpiti da questo attacco, ritrovatisi cioè colpiti da skimmer ospitati su domini esterni. Per skimmers inizialmente si intendevano veri e propri hardware che venivano installati sugli ATM per inviare agli attaccanti codici e pin delle carte: oggi sono però anche strumenti software che vengono appunto utilizzati clandestinamente sugli shop online.

Kersten ha iniziato con un dominio che ospitava uno skimmer e ha utilizzato alcuni servizi di scansione siti web per rintracciarlo su altri siti. Questo gli ha consentito di individuare il momento in cui il dominio dello skimmer è cambiato. E' stato ripetendo questo processo che ha potuto ricostruire la catena di infezione, fin quando questa si è interrotta. I dati risalgono ormai a due o tre settimane fa circa, ma Kersten fa sapere che non si aspetta vi siano state modifiche: degli oltre 200 alert che ha inviato a gestori e proprietari dei siti web infetti, nessuno ha visto risposta. Probabilmente questi gestori sono collusi con gli attaccanti e non si esclude possano ricevere da loro qualche forma di compenso. 

Va specificato che questa è solo una piccola parte dei siti infettati con skimmer e che Magecart è il gruppo sospettato numero uno: Kersten non poteva, da solo, eseguire una ricerca così estesa da individuare tutti i domini colpiti, ma sicuramente dimostra come il lavoro anche di un singolo ricercatore possa, con pochi strumenti gratuiti a disposizione, individuare un ampio numero di siti colpiti. A ribadire che il problema è estremamente più ampio. 

Ecco i dati

Negozi di alimentari, servizi, siti per adulti, shop online di vario genere sono le categorie più individuate, insieme ad alcuni domini non chiaramente individuabili. 

La maggior parte di questi domini compromessi sono statunitensi, 280 non sono individuabili geograficamente, mentre in Europa i domini più colpiti sono inglesi (68). L'italia è nona nella classifica con 31 domini colpiti. 

Il report di Kersten, disponibile qui, riporta la lista di tutti i domini individuati. Nel caso qualche utente individuasse in questa lista un dominio sul quale ha effettuato un pagamento, qualora la carta non sia scaduta, è consigliabile verificare il report dei pagamenti per individuare eventuali ammanchi e richiedere alla banca una nuova carta.