Non solo Ticketmaster: i pirati hanno colpito 800 siti di e-commerce

Lug 12, 2018 Marco Schiaffino Attacchi, Gestione dati, Hacking, In evidenza, Intrusione, Malware, News, RSS 0

L’attacco al sito per la vendita di biglietti per concerti ed eventi fa parte di una campagna più ampia del gruppo criminale Magecart.

Il furto di carte di credito ai danni dei clienti di Ticketmaster è solo la punta di un iceberg che potrebbe aver coinvolto più di 800 siti di e-commerce. A spiegarlo sono i ricercatori di RiskIQ, che hanno individuato per primi l’attacco e nei giorni seguenti ne hanno analizzato le caratteristiche.

Come abbiamo spiegato in questo articolo, il furto dei dati delle carte di credito dai siti Ticketmaster è avvenuto attraverso la violazione dei sistemi di Inbenta, una società che fornisce servizi al sito di e-commerce.

Nel dettaglio, i pirati sono riusciti a modificare un widget sviluppato da Inbenta inserendovi un JavaScript in grado di registrare i dati di pagamento inseriti dagli utenti al momento del check-out.

RiskIQ ha però pubblicato un nuovo report in cui la vicenda viene approfondita e dal quale si scopre che l’attacco è solo un episodio all’interno di una strategia più ampia portata avanti da un gruppo di cyber-criminali conosciuti con il nome di Magecart.

Il gruppo Magecart è conosciuto fin dal 2015 ed è specializzato in skimming di carte di credito. Normalmente, però, i cyber-criminali erano soliti dedicarsi principalmente allo skimming “fisico”, cioè al furto dei dati delle carte di credito attraverso la manomissione di bancomat e stazioni di pagamento nei distributori di benzina.

Ora sembrano aver cambiato strategia e, stando a quanto riportano i ricercatori di RiskIQ, lo hanno fatto davvero in grande stile.

Dopo la scoperta dell’attacco, infatti, gli analisti sono andati a fondo della questione scoprendo che l’impatto della violazione è stato ben più ampio di quanto si era creduto in un primo momento.

Lo script usato dai pirati informatici non pregiudica il funzionamento dei componenti originali ma gli permette di fare incetta di carte di credito con estrema facilità.

Prima di tutto i siti di Ticketmaster compromessi (all’inizio si pensava che il problema riguardasse solo quello nel Regno Unito) sono molti di più e comprenderebbe, tra gli altri, Irlanda, Nuova Zelanda e Turchia.

In secondo luogo, RiskIQ ha scoperto che i pirati informatici non si sono limitati a colpire Inbenta, ma anche altri fornitori di Ticketmaster, tra cui SociaPlus. L’azienda, specializzata nella fornitura di strumenti per la gestione dei contenuti sui social media, è stata il vettore di attacco attraverso cui i cyber-criminali hanno colpito Ticketmaster International, oltre alla versione tedesca e australiana del sito.

Ancora più importante, però, è il fatto che Ticketmaster non è stata l’unica vittima della campagna di attacchi portata da Magecart. Secondo i ricercatori, le vittime complessive sarebbero più di 800. Tutti siti di e-commerce dai quali i pirati avrebbero “succhiato” migliaia (milioni?) di carte di credito.

Il bilancio, però, potrebbe essere anche più pesante. La tecnica usata dai pirati (compromettere fornitori di servizi per inserire il loro malware) gli consente infatti di raggiungere migliaia di siti Internet con estrema facilità.

Tra i fornitori di servizi compromessi i ricercatori di RiskIQ citano per esempio PushAssist, che offre servizi di analytics a più di 10.000 siti Internet, Clarity Connect (fornitore di strumenti CMS e altro) e Annex Cloud. Insomma: il rischio è che l’iceberg di cui si parlava in apertura sia di quelli belli grossi.

Condividi l'articolo