Oggi è il Black Friday e lunedì prossimo sarà il Cyber Monday, giorni in cui i consumatori si accalcano per la tradizionale corsa agli acquisti con i falsi sconti. Occasioni di spesa che, quest’anno più che negli anni precedenti, avverranno prevalentemente online prestando il fianco a una minaccia informatica nota come Magecart.
A evidenziare i rischi di Magecart è una press release di Juniper Networks, multinazionale specializzata in apparati di rete che mette in guardia utenti e aziende. Un attacco Magecart consiste nell’uso di uno script malevolo (in genere JavaScript) in grado di rubare i dati della carta di credito, una minaccia sempre più concreta e diffusa in un mondo che trasferisce buona parte dello shopping non essenziale sul Web.
La necessità di garantire uno strumento di acquisto telematico spinge le aziende a usare plug-in esterni, sottolinea Juniper, e in genere la catena di fornitori di tali plug-in è vastissima e non è controllata (né controllabile) in maniera adeguata alla ricerca di rischi e vulnerabilità. Le fonti di codice esterno (JavaScript, CSS) di un rivenditore online sono in media 39-40, e i test standard disponibili sul mercato non sono sufficienti a evidenziare tutti i potenziali pericoli presenti all’interno di questa massa di script fuori controllo.
Juniper cita il “carrello” di Magento e i server per l’advertising esterni come esempi di plug-in che prestano il fianco all’iniezione di codice malevolo, fornendo altresì alcuni consigli utili sia alle aziende che agli utenti. Gli e-retailer possono usare una tecnica come Subresource Integrity per verificare l’integrità dei contenuti esterni, implementare policy di sicurezza (supportate da browser e Web server) e magari richiedere un audit del loro codice a professionisti specializzati.
Agli utenti finali, invece, occorre valutare se sia opportuno o meno registrare un account per ogni singolo sito su cui effettuano (o vogliono effettuare) acquisti, o anche riflettere se usare l’autenticazione con le credenziali di Google o altri social sui siti di terze parti. Tenere traccia dei propri acquisti e controllare spesso la carta di credito è altresì un metodo efficace per combattere le eventuali truffe a base di Magecart.