Una vulnerabilità non specificata in alcune versioni della piattaforma di e-commerce Magento è stata sfruttata alcuni cyber criminali per verificare la validità delle carte di credito e di debito rubate, perse o clonate.
Questo secondo il sito di notizie ZDNet, che ha dichiarato di aver consultato Magento che, cosa frustrante, non sembra aver ancora reso pubblico o menzionato tale problema nel considerevole elenco di soluzioni di sicurezza rilasciato il 26 marzo. Se state usando Magento, vi suggeriamo di andare alla lista delle patch e aggiornarle comunque, dato che ci sono alcuni bug abbastanza seri.
Un problema per i criminali che acquistano i dettagli delle carte di credito rubate nel dark web è che non sanno quali siano vecchie o disattivate o ancora soggette a frodi.
Probabilmente la maggior parte di esse non funzionerà, ma tutto ciò che li aiuta a setacciare rapidamente l’oro dal fango senza attirare l’attenzione su di sé è incredibilmente utile.
La tecnica su cui si sono imbattuti è stata quella di inviare un numero elevato di transazioni con zero dollari ($ 0) attraverso i siti Magento integrati con il sistema di pagamento delle carte Payflow Pro di PayPal.
PayPal può essere integrato nei siti di e-commerce in diversi modi, uno dei quali – Payflow Pro – offre il vantaggio che il cliente non è mai distratto dal dover lasciare il sito Web del commerciante.
Come spiega PayPal:
PayPal opera solo sul back-end per elaborare il pagamento. Il cliente non accede mai al sito web di PayPal e riceve solo una ricevuta dell’ordine da parte tua, non di PayPal.
Una caratteristica legittima abusata dai truffatori
Questa capacità di canalizzare le query attraverso i siti di e-commerce senza dover autenticare tramite PayPal potrebbe essere ciò che attrae i criminali: dal punto di vista di PayPal, le transazioni sembreranno provenire dal commerciante.
Se è quello che sta succedendo, si tratta semplicemente di una tecnica per nascondere molte richieste di transazioni altrimenti sospette dietro un fronte legittimo.
In teoria, né il commerciante né PayPal dovrebbero perdere denaro direttamente. È un modo per controllare sfacciatamente la validità della carta per consentire frodi altrove.
Su questa base, il rischio per i commercianti che operano attraverso Magento è che PayPal potrebbe eventualmente notare strane transazioni e sospendere i loro account.
Perché PayPal e non un’altra piattaforma? L’invio di transazioni a zero dollari è una caratteristica legittima che i commercianti possono utilizzare per verificare i dati dei titolari di carta senza chiedere denaro.
Alcune piattaforme fanno pagare una piccola somma per questa struttura, quindi se PayPal non lo fa, presumibilmente è più facile che qualsiasi abuso del sistema passi inosservato ai commercianti.
Cosa fare?
Le versioni vulnerabili sono 2.1.xe 2.2.x, includendo sia quella cloud che self-hosted. Non è chiaro se la versione 2.3 sia interessata ma, scrive ZDNet …
… il team di Magento non ha ancora riscontrato prove di abuso contro questo tipo di siti.
C’è un modo per capire se un sito è stato interessato? Fino a quando il problema non verrà spiegato in modo più chiaro, è impossibile dirlo con certezza, anche se è possibile che un numero elevato di transazioni insolite possa generare messaggi di errore PHP inaspettati che potrebbero essere visualizzati nei registri di Magento.
C’è stato un tempo in cui all’idea di proteggere un sito di e-commerce utilizzando uno strumento di sicurezza di terze parti si storceva il naso. Dato il numero crescente di attacchi ai siti di e-commerce nell’ultimo anno, forse è il momento di rivedere questo modo di pensare.
Lascia un commento