I ricercatori di Kaspersky hanno scoperto una nuova tecnica per rubare informazioni di pagamento dai siti dello shopping online, attraverso un attacco noto come “web skimming”.

Web skimming
Web skimming

Il web skimming è una tecnica utilizzata dai cybercriminali, per rubare i dati delle carte di credito dalle pagine di pagamento degli store online: consiste nel “code injection” ossia l’aggiunta di pezzi di codice nella sorgente del sito web. Questo cifrario malevolo è in grado di raccogliere i dati inseriti dai visitatori (ad esempio, le credenziali di login usate dal conto per il pagamento o i numeri della carta di credito) e di inviare gli stessi all’indirizzo indicato proprio all’interno di questa combinazione. Spesso, i cybercriminali registrano domini con nomi che assomigliano a quelli di servizi di web analytics molto popolari. In questo modo, quando procedono con l’injection del codice malevolo, è più difficile per il web administrator sapere che il sito è stato compromesso.

Di recente, i ricercatori Kaspersky hanno scoperto una tecnica, finora sconosciuta, per condurre attacchi di tipo “web skimming”. Invece di ridirigere i dati verso fonti di terze parti, i cybercriminali hanno elaborato un sistema per reindirizzarli verso account ufficiali di Google Analytics. Dopo aver registrato i loro account, ai criminali informatici è bastato configurare i parametri di tracciabilità per ricevere un ID di tracciamento. Hanno successivamente eseguito l’injection del codice malevolo insieme al tracking ID, trovando, quindi, il modo di raccogliere i dati dei visitatori ed inviarli direttamente ai loro account Google Analytics.

Per gli amministratori dei siti web è più difficile rendersi conto che il sito è stato compromesso. A chi esamina il codice sorgente, infatti, sembra che la pagina sia collegata ad un account ufficiale di Google Analytics.

Per rendere tale attività ancora più malintenzionata, i cybercriminali hanno, anche, impiegato una tecnica comune, quella dell’“anti-debugging”: se un amministratore esamina il codice sorgente della pagina web, attraverso la modalità di Sviluppatore, osserva che il cifrario malevolo non viene eseguito.

Più di venti siti web sono stati compromessi grazie all’uso di questo metodo, tra questi anche negozi online in Europa, nel Nord e nel Sud America.

A tal proposito Victoria Vlasova, Senior Malware Analyst di Kaspersky, ha commentato: “Google Analytics è uno dei servizi più popolari sul mercato. La stragrande maggioranza degli sviluppatori e degli utenti si fida di questo servizio, tanto che spesso gli amministratori dei siti gli danno il permesso di raccogliere i dati dei visitatori. Gli amministratori, di norma, non dovrebbero considerare accettabile la presenza, all’interno del proprio codice, di una risorsa di terze parti solo perché risulta apparentemente legittima”.

Kaspersky ha notificato il problema a Google, che ha confermato di essere costantemente impegnato nello sviluppo di tecnologie di rilevamento dello spam.

Per evitare i pericoli legati al “web skimming” ed essere protetti online, gli esperti di Kaspersky consigliano agli utenti di:

Utilizzare una soluzione di sicurezza affidabile come Kaspersky Security Cloud, in grado di rilevare e bloccare l’esecuzione di script malevoli o di disattivare completamente Google Analytics utilizzando la funzione Safe Browser.