L’E-commerce fa indubbiamente gola agli hacker: salvo quelli degli istituti finanziari, non esistono infatti altri siti web che contengano più informazioni su carte di credito e dati di pagamento. Una prospettiva di guadagni facili che non fa che agire da stimolo per l’ingegnosità degli hacker, come conferma l’ultimo caso noto, descritto non a caso come una delle campagne di hacking più innovative degli ultimi tempi. I ricercatori di Malwarebytes hanno infatti scoperto del codice malevolo nascosto nei metadati di un file immagine caricato di nascosto da negozi online compromessi, che serviva per sottrarre segretamente le informazioni sulle carte di credito inserite dai visitatori dei siti web in questione.
Facendo leva sulla crescita costante del mondo degli acquisti online, questi attacchi funzionano tipicamente inserendo il codice dannoso in un sito compromesso, che raccoglie e invia di nascosto i dati inseriti dagli utenti al server controllato dai criminali informatici, dandogli così accesso alle informazioni di pagamento degli acquirenti. In questa ultima campagna, è stato scoperto che lo skimmer non solo era presente su un negozio online che utilizza il plugin WooCommerce di WordPress, ma era contenuto anche nei metadati EXIF (abbreviazione di Exchangeable Image File Format) dell’immagine favicon di un dominio sospetto (cddn.site).
Ogni immagine viene fornita con informazioni sull’immagine stessa, come il produttore e il modello della fotocamera, la data e l’ora in cui è stata scattata, la posizione, la risoluzione e le impostazioni della fotocamera. Utilizzando questi dati EXIF, gli hacker potevano dunque eseguire del codice JavaScript nascosto nel campo Copyright dell’immagine della favicon, catturando il contenuto dei campi di input dove gli acquirenti inseriscono il loro nome, l’indirizzo di fatturazione e i dettagli della carta di credito.
Benché questa tecnica sia più evoluta, non è comunque la prima volta che gruppi di hacker utilizzano immagini come vettori di attacco per compromettere gli E-commerce. Già a maggio scorso ad esempio sono stati osservati diversi siti web hackerati che caricavano una favicon malevola sulle loro pagine di cassa e successivamente sostituivano i legittimi moduli di pagamento online con una copia identica che rubava i dati della carta dell’utente.