Col passare del tempo. Questa settimana ho notato che la violazione della British Airways (probabilmente il manifesto de facto degli attacchi Magecart) stava festeggiando i suoi 2 anni. Ma anche prima della violazione di BA, avevo studiato le tattiche avanzate utilizzate dai gruppi criminali informatici per infiltrarsi nel lato client dei siti web.
Il web skimming è un ottimo esempio di attacco molto efficace. Non c'è da meravigliarsi quindi che così tante band diverse seguano il modus operandi dei Magecart. Dopo la violazione di BA, ho analizzato oltre 65 attacchi di web skimming di alto livello che hanno colpito migliaia di aziende diverse. Ciò che è preoccupante è che Magecart non mostra segni di rallentamento.
Ma oggi, fortunatamente, sappiamo molto di più sugli attacchi di web skimming rispetto al 2018. Quindi, per preparare le aziende a gestire correttamente questa minaccia, ho pensato di presentare 5 degli insight più importanti. false sugli attacchi Magecart. .
Circa l'autore
Pedro Fortuna è CTO di Jscrambler
Magecart attacca solo i siti Web basati su Magento
A prima vista, molti associano Magecart a Magento, il sistema di gestione dei contenuti ampiamente utilizzato nei negozi di e-commerce. In effetti, il nome Magecart è stato probabilmente coniato per la prima volta perché il sindacato dei criminali informatici inizialmente si concentrava sui negozi basati su Magento. Di solito erano configurati in modo molto scadente in termini di sicurezza, con molte password predefinite e mancanza di aggiornamenti software. Quei giorni sono ormai lontani. Oggi, l'industria associa Magecart a tutti gli attacchi di intrusione web che provengono da qualsiasi sito web e da terze parti. Finché l'aggressore riesce a inserire il web skimmer nel sito web, va bene. Ed è nato un nuovo attacco Magecart.
Magecart attacca solo siti Web di grandi dimensioni
A rischio di ripetermi, gli attacchi Magecart possono prendere di mira qualsiasi sito web. Molti di noi hanno sentito parlare di violazioni di alto profilo da parte di nomi noti come Macy's e Warner Music Group. Tuttavia, la maggior parte dei gruppi Magecart non lancia attacchi altamente mirati contro aziende specifiche. E anche quelli che lo sono possono finire per infettare centinaia di siti web con un solo attacco, poiché attaccano principalmente dipendenze e codici di terze parti utilizzati da grandi, medie e piccole imprese. Quando Magecart getta le sue reti nella catena di approvvigionamento del web, in genere prende di mira pesci grandi e piccoli.
Il tuo sito web non è a rischio se lo sviluppi e lo mantieni internamente
Spesso si sostiene che "sviluppiamo tutto internamente", il che porta a pensare che il tuo team controlli ogni aspetto del tuo sito web. Tuttavia, la tipica applicazione Web di oggi contiene un ampio mix di codice lato client. Secondo recenti statistiche, due terzi degli script utilizzati in media su un sito web provengono da terzi. Inoltre, lo sviluppo su queste piattaforme in genere incorpora framework e librerie che contengono dozzine di pezzi di codice di terze parti, creando una lunga catena di dipendenze del codice. E ogni istanza di codice di terze parti offre agli aggressori un'altra possibilità di entrare. E anche nei casi più rari in cui l’azienda è self-hosted e si affida pochissimo al codice di terze parti, è comunque a rischio. Si sono verificati diversi casi di attacchi first party di Magecart, e anche questi sono passati inosservati per settimane.
Gli attacchi Magecart possono essere mitigati con un firewall per applicazioni web
Questo è un altro malinteso. I firewall per applicazioni Web (WAF) sono ampiamente utilizzati per monitorare e proteggere la rete, bloccando connessioni sconosciute o non attendibili. Tuttavia, come le difese lato server, un WAF non rileva ciò che accade sul lato client. E poiché gli attacchi Magecart provengono da una fonte attendibile per impostazione predefinita, un fornitore di terze parti legittimo o un codice di prima parte, i WAF possono essere facilmente evitati dal codice di controllo web dannoso.
CSP e SRI sono la strada da percorrere se vuoi prevenire gli attacchi Magecart
Questo l'ho tenuto per ultimo perchè è sicuramente quello che ascolto più spesso. Content Security Policy (CSP) e Sub-Resource Integrity (SRI) sono due tecniche comunemente utilizzate per ridurre al minimo l'esposizione all'esfiltrazione di dati e agli attacchi di terze parti. Tuttavia, ora sappiamo che questi approcci non sono la risposta giusta per combattere Magecart. Sebbene il CSP limiti le fonti esterne a cui un sito Web può connettersi, può essere aggirato, consentendo agli aggressori di estrarre comunque i dettagli della carta di credito. SRI adotta tattiche diverse: consente al sito Web di bloccare script esterni quando cambia l'integrità dei suoi file. In questo modo lo script verrebbe bloccato dopo l'iniezione nello schiumatoio. Tuttavia, il grande svantaggio dell’IRS è che è molto difficile fare bene e finisce per essere una soluzione di manutenzione molto elevata che le aziende tendono ad evitare.
Vorrei poter dire che queste sono le uniche idee sbagliate su Magecart; Purtroppo ce ne sono ancora molti altri. D'altra parte, il settore ha imparato molto su questi attacchi negli ultimi anni e sappiamo che una delle strategie di mitigazione più efficaci di Magecart è quella di rilevare e bloccare tempestivamente comportamenti dannosi sul lato client. vero. Poiché sempre più aziende comprendono la necessità di questo nuovo livello di sicurezza lato client, sono convinto che i giorni di Magecart siano contati.