Skimming in informatica: origini ed evoluzione della frode delle carte di credito

Lo skimming in informatica è una tecnica di frode delle carte di credito che trae le sue origini dal mondo analogico.

La denominazione della truffa deriva proprio dai primi esemplari di skimmer. SI trattava, infatti, di apparecchi appositamente utilizzati per estorcere le informazioni contenute nelle bande magnetiche di bancomat e carte.

Oggi, la pratica del web skimming, come ben prevedibile, rappresenta una delle minacce informatiche più insidiose.

Basti pensare che in una ricerca riportata sul Kasperesky Security Bulletin Statistics gli skimmer web figurano in decima posizione tra i primi 20 fattori di pericolo online, con un tasso di crescita pari a ben il 187%.

Ma cos’è uno skimmer?
E cosa rende oggi lo skimming delle carte di credito un pericolo sia online che in rete?

In questo articolo cercheremo di fornire un quadro d’insieme sul fenomeno.

Indice degli argomenti

1. La nascita dello skimming informatico: gli skimmer ATM
2. Web skimming: l’evoluzione delle frodi sul web
3. MageCart: il gruppo hacker leader nel web skimming
4. Conseguenze di un attacco
5. Come proteggersi dallo skimming web

Originariamente con il termine skimming si intendeva essenzialmente la clonazione delle carte di credito ai danni di chi si recava fisicamente agli sportelli ATM.

Prima che se ne rilevassero le criticità, infatti, le informazioni sensibili delle carte erano registrate in chiaro su una banda magnetica, il che le rendeva particolarmente esposte a potenziali estorsioni.

E infatti gli hacker non si sono fatti attendere.

Installando uno skimmer negli ATM esattamente nella fessura in cui il soggetto inseriva la carta, risultava loro molto agevole per i malintenzionati

• ‘leggere’ le carte di credito
• Immagazzinarne le informazioni
• e poi riutilizzarle per scopi illeciti

Come avveniva la frode

Il meccanismo di fondo era abbastanza semplice:

• allo skimmer si collegava una scheda di memoria di tipo ROM per garantire la non-volatilità dei dati che sarebbero stati raccolti
• lo skimmer veniva poi posizionato in corrispondenza di un ATM, cosicché risultasse invisibile alle potenziali vittime
• ed infine, lo si collegava ad un computer su cui sarebbero state agevolmente scaricate e visionate le credenziali estorte

Ciò nonostante, per poter effettivamente accedere ai conti correnti, era indispensabile anche conoscere il PIN della carta.
Purtroppo per i malfattori, questo dato indispensabile non era riportato nella banda magnetica.

Lo stratagemma per ovviare al problema, tuttavia, fu presto escogitato. In sostanza, si trattava di installare una piccola telecamerina sulla parte alta dello sportello di prelievo, posizionata in modo tale da inquadrare la tastiera di digitazione del codice segreto.

Incrociando, poi, gli orari di registrazione della telecamera, con quelli dell’esfiltrazione delle credenziali nella memoria dello skimmer, era quindi possibile risalire alle combinazioni di numeri di conto e relativi codici PIN.

Questo meccanismo permetteva, insomma, di immettere sul mercato carte di credito clonate, utilizzate poi per defraudare i conti correnti. Sebbene ne abbiamo parlato al passato, non si tratta certo di una tecnica scomparsa nel nulla, tutt’altro: si è soltanto adattata alle nuove tecnologie.

Ad esempio, oggi è possibile che un apparecchio skimmer venga nascosto nei POS precedentemente sottratti a un rivenditore e poi distribuito negli esercizi commerciali.

O ancora, anziché utilizzare dispostivi hardware come un tempo, ora gli hacker si affidano a strumenti come il Bluetooth per reindirizzare i dati rubati verso un dispositivo posto nelle vicinanze.

Com’è noto, al giorno d’oggi, la maggior parte delle transazioni commerciali viene effettuata tramite il web.

Gli acquisti su e-commerce e marketplace online rappresentano non soltanto una grande risorsa, ma anche momenti molto delicati, in quanto si vanno ad esporre estremi di conti bancari e carte.

Ed ecco che, come evoluzione dello skimming tradizionale, negli ultimi anni è esploso il fenomeno skimming web.

Rispetto al primo, inoltre, questa nuova frontiera dello skimming offre svariati vantaggi, tra i quali:

• essere più economico e relativamente più semplice da mettere in partica
• rivelarsi più difficile da combattere
• nonché rendere quasi impossibile l’identificazione degli attaccanti.

Ma come funziona nello specifico il web skimming?

Innanzitutto, se si sta analizzando il fenomeno dello skimming prettamente in ottica online, c’è da ri-definire il concetto di skimmer.

Uno skimmer web, infatti, si configura come uno script malevolo solitamente implementato in linguaggio JavaScript, proprio perché quest’ultimo risulta mancante di forti requisiti di sicurezza.

Il modus operandi dei gruppi hacker che perpetrano questo tipo di attacco prevede:

1. la ricerca di vulnerabilità sulle piattaforme e-commerce di un portale web
2. lo sfruttamento di criticità presenti sulle pagine di elaborazione delle transazioni
3. aggiunta dello script dannoso alla pagina

La relativa facilità con cui i pirati informatici riescono a inserire lo script è dovuta al fatto che il codice dei siti non è implementato interamente in loco, ma risulta composto da tutta una serie di pacchetti preimpostati elaborati da terze parti.

Così facendo è assai più alto il rischio che tali packages non rispettino determinati standard di sicurezza.
Inoltre, il fatto che spesso vengano assemblati plug-in e implementazioni provenienti da fonti diverse, non fa che aumentare il livello di criticità generale.

Insomma, una volta immesso lo skimmer web nel portale, per l’hacker sarà possibile:

1. acquisire informazioni di pagamento
2. registrare le sequenze di digitazione di PIN e codici segreti
3. ed infine, utilizzarle per acquisiti fraudolenti o rivenderle sul dark web.

Se c’è un’organizzazione di criminali informatici specializzati nel web skimming che sta letteralmente colonizzando internet, questa è sicuramente MageCart.

La traduzione in italiano dell’appellativo corrisponderebbe a “carrello dei maghi”, e in effetti a finire nel mirino del gruppo hacker sono stati grandi colossi dell’economia mondiale.

Dall’e-commerce della British Airways, a quello della Baseball Hall of Fame, passando per gli Amazon S3 Buckets, servizio di storage per qualsiasi tipologia di dati. Questo per citare solo alcuni dei nomi illustri che figurano nella lista delle vittime di MageCart.

Ciò che ne ha garantito l’esplosione è stata sicuramente l’utilizzo di una tecnica di web skimming automatizzata che ha colpito circa 17.000 domini internet.

Non solo: pare che tra alcuni di questi domini ci sia una sorta di “riciclo”.
Nella pratica, ciò si traduce nel:

• reinfettare nel giro di pochi giorni un portale già precedentemente attaccato, con una media di uno ogni cinque
• utilizzare tecniche di offuscamento che aiutano a rendere la presenza dello skimmer indistinguibile dal codice sorgente originario
• utilizzo di exploit zero-day per hackerare il portale sotto attacco

Le conseguenze più dirette di un attacco di web skimming comportano:

• in primis, perdita di confidenzialità dei dati dei clienti
• cui si aggiungono inevitabilmente perdite di profitto per il gestore dell’e-commerce
• conseguenti danni di reputazione e perdita di fiducia degli utenti
• nonché problemi normativi di conformità a norme quali Privacy e Trattamento dei dati personali e GDPR.

Per arginare l’installazione degli skimmer ATM sono stati apposti specifici copri-fessura in plastica davanti l’imboccatura del bancomat e le bande magnetiche delle carte sono state sostituite da chip per permettere transazioni contactless.

Per quanto riguarda, invece, lo skimming web sarà necessario provvedere autonomamente al mantenimento in sicurezza del proprio portale.

L’ideale, in questo caso, sarebbe rivolgersi a specialisti esperti in materia di cybersecurity, che abbiano il preciso compito di:

• scansioni periodiche lato client per rilevare eventuali anomalie o intrusioni
• assicurarsi che le librerie JavaScript inserite nel codice del proprio portale non siano presenti in alcuna lista nera, e premurarsi di aggiornarle costantemente per avere sempre a disposizione ultime patch di sicurezza
• assicurarsi che plug-in, widget ed estensioni che si intende implementare siano assolutamente sicure e verificate
• progettare il proprio sito web secondo i dettami della Security-by-Design, per garantire che i criteri di sicurezza informatica facciano parte dell’intero ciclo di vita dell’applicativo web.