Black Friday e Cyber Monday: i consigli di Juniper Networks per lo shopping online in sicurezza

Avatar
Posted by Redazione 26/11/2020 7 minuti di lettura

Gli esperti di Juniper Networks ci spiegano come funzionano gli attacchi di tipo Magecart e cosa fare per starne alla larga

Milano, 26 novembre 2020 In questo singolare 2020, i siti di e-commerce e i retailer saranno pesantemente a rischio di attacchi Magecart, uno script che consente di rubare i dati delle carte di credito.

Quest’anno Magecart rappresenta una minaccia più pericolosa che mai, sia perché molti consumatori si sono convertiti all’online, facendone crescere i volumi, sia perché, nella foga di introdurre nuovi servizi in rete e da “asporto” nell’intento di far fronte alle limitazioni dovute alla pandemia, sono stati aggiunti moltissimi plug-in e funzionalità via API, esponendo così molti siti a nuove potenziali vulnerabilità. I fornitori di plug-in per i siti web rappresentano tra l’altro una supply chain vasta, non monitorata e tutt’altro che impermeabile alla perdita di dati sensibili nella maggior parte dei casi.

Per molte delle aziende tradizionali con una presenza online, il sito non è poi la priorità principale e questo gioca a favore di attacchi di tipo Magecart, nel cui mirino sono finite anche le pubbliche amministrazioni, dalle quali vengono rubati dati come credenziali, codici fiscali e altre informazioni personali.

Con l’aiuto degli esperti di Juniper Networks, leader nelle reti sicure basate su AI, scopriamo quali sono i principali aspetti da non sottovalutare:

  • Il sito di un retailer online ha in media 39-40 fonti esterne di Javascript, senza considerare la parte di codice CSS. Nella maggior parte dei casi nessuno tiene traccia di chi li ha aggiunti e perché e in seguito a quale processo di valutazione, ammesso che ne esista uno.
  • L’ecosistema del sito web si espande continuamente, creando una pantagruelica catena di funzionalità di cui nessuno tiene traccia. Questo problema è molto più ampio di quanto il proprietario del dominio possa tenere sotto controllo autonomamente.
  • La scansione delle vulnerabilità non è in grado di rilevare tutti i tipi di attacchi che Magecart è in grado di utilizzare.
  • Delle quattro tecniche di iniezione di codice malevolo, tre sfruttano il collegamento con funzionalità di terze parti e solo una l’iniezione diretta di codice.
  • Penetration test periodici del sito e audit del codice sorgente sono certamente necessari, ma in genere chi costruisce fisicamente il sito non pensa che questa sia una sua responsabilità.

Tra gli esempi di plug-in che espongono molti dei principali siti mondiali di e-commerce all’iniezione di codice vi sono:

  • Lo “shopping cart” come quello del diffusissimo Magento (piattaforma di e-commerce open source): quando plug-in come “valuta questo acquisto” si palesano nella pagina del pagamento possono essere veicolo di iniezioni di Javascript.
  • Ads server: i messaggi pubblicitari non sono ben monitorati e sono spesso sfruttati per l’iniezione di codice.

I consigli di Juniper Networks per il Black Friday e il Cyber Monday

Cosa fare dunque? In vista degli imminenti acquisti del Black Friday e Cyber Monday, gli esperti di Juniper Networks propongono alcune soluzioni possibili per le aziende e dei semplici suggerimenti per i consumatori per tutelarsi dagli attacchi Magecart.

Per le aziende

  1. Sub Resource Integrity (SRI): questo strumento garantisce che il contenuto del sito non venga modificato nel percorso tra il server e il browser assicurandone l’integrità.
  2. Content Security Policies: sono policy supportate da browser e web server che consentono di indicare quali sono gli unici domini a cui è permesso lanciare script eseguibili per conto del sito. Nel caso di un retailer, le regole dovrebbero autorizzare solo i pochi domini approvati, chiudendo molti dei pertugi che Magento usa per infiltrare Javascript.
  3. Le aziende devono identificare tutti i provider terzi e gli utenti pubblicitari con cui lavorano e assicurarsi che eseguano audit e autovalutazioni periodici:
  • il modo migliore consiste nel richiedere un audit del loro codice da parte di un’entità fidata;
  • poi, per evitare le “supply chain injection” (gli attacchi che sfruttano una chiamata di codice di una terza parte), l’azienda stessa deve – per quanto possibile – “ospitare” quel codice localmente e non farsi allettare dalla semplicità dell’inclusione attraverso una chiamata remota. Successivamente, deve installare regolarmente le patch di sicurezza;
  • testare tutto, ad esempio iniettando il proprio codice Javascript nel browser e vedere cosa succede, ricorrendo a tool specifici per questo tipo di verifiche;
  • assicurarsi che gli scanner (di vulnerabilità) abbiano accesso ai flussi critici, come ad esempio i carrelli virtuali;
  • virtualizzazione Javascript: tenere d’occhio le performance, dato che la lentezza potrebbe andare a scapito degli obiettivi generali dell’azienda.

Con questo tipo di attacchi, il problema principale è rappresentato dalle persone. Non parliamo di utenti e consumatori, ma delle stesse organizzazioni. Le aziende tendono, infatti, a non considerare la gran quantità di plug-in di terze parti non gestite come possibili vulnerabilità, perpetuando il problema.

Per i consumatori

Ecco tre semplici regole che tutti i consumatori dovrebbero seguire per non cadere in trappola di attacchi Magecart indesiderati:

  1. Non registrarsi a ogni costo su ogni sito: non è sempre necessario affidare a tutti i propri dati personali o di pagamento.
  2. Prima di effettuare l’autenticazione con le credenziali Google o altri account social rifletterci bene perché, così facendo, vengono cedute molte più informazioni di quanto non si creda.
  3. Sebbene non sia facile ormai ricordare tutti i siti che si usano, cercare di tracciare quelli che si utilizzano per la prima volta o a cui si accede di rado, tenendo sempre sotto controllo la carta di credito.

Juniper Networks

Juniper Networks semplifica le complessità di rete nell’era del multicloud con prodotti, soluzioni e servizi per trasformare il modo di connettersi, lavorare e vivere. Juniper semplifica il processo di transizione a un ambiente multicloud sicuro e automatizzato, per garantire reti AI-driven che connettono tutto il mondo. Ulteriori informazioni sono disponibili sul sito di Juniper Networks o connettendosi a Juniper sulle piattaforme Twitter, LinkedIn e Facebook.

Translate »
Powered by  GDPR Cookie Compliance
Panoramica privacy

Questo sito Web utilizza i cookie in modo che possiamo fornirti la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi più interessanti e utili Per vedere tutta la nostra Privacy Policy, clicca qui..