Shanghaied shops & ABS / Scout detection, boutiques, negozi

Negozi online hackerati e rilevamento SBA / Scout

Uno shop online incustodito è una tentazione irresistibile per i criminali. Per questo, l’ultima cosa che la maggior parte dei titolari fa la sera, è controllare di aver chiuso a chiave la porta del negozio. Ma nel mondo online, sono migliaia i titolari che hanno dimenticato la porta del negozio virtuale aperta. E sono stati hackerati: sorpresa!

Adesso chi gestisce il negozio non è più il proprietario del sito, ma il pirata informatico, che passa alla fase 2 del suo piano: aggiungere un piccolo script che gli inoltri i dettagli delle carte di credito inseriti nel sistema di acquisto. Possono essere venduti al mercato nero o usati direttamente per fare acquisti.

È successo a migliaia di negozi

È una situazione ingannevole: il vecchio e fidato shop online è vittima di ciò può essere definito un “tentativo di phishing“, senza che il titolare del negozio ne sia al corrente.

Per i clienti:

i clienti devono fare molta attenzione: se ignorano gli avvertimenti e inseriscono i dettagli della carta di credito, questi finiranno direttamente nelle mani dei criminali. Ma a parte il furto e il possibile abuso dei dettagli della carta di credito, i loro dispositivi non verranno violati. Quindi ricorda: è solo il tuo denaro a essere a rischio, non il tuo dispositivo.

Per i proprietari dei negozi:

SBA (e Scout) ora rileva queste pagine come “phishing”. In qualità di titolare di un negozio online potresti essere un po’ confuso, perché non hai creato nessun sito di phishing. Beh, qualcun’altro l’ha fatto: con il tuo nome e sulla tua proprietà. E sta attaccando i tuoi clienti. Sta diventando una faccenda personale, per cui infuriati e cacciali via! Dopo aver ripulito la pagina e riparato le vulnerabilità, contattaci qui, descrivi come hai pulito la pagina e magari aggiungi la parola chiave “magento” (molto probabilmente è questo il software che usi per il tuo negozio online, vero?). In questo modo potremo esaminare la pagina e rimuovere sia il rilevamento che l’avviso di sicurezza per il tuo negozio.

100 punti per i buoni. Batti un cinque!

Diamo un nome al problema

Per l’utente si tratta di un altro sito di phishing. Per il proprietario è il proprio amato negozio online. Siamo alla ricerca di un nome migliore e più specifico per distinguere tra il tradizionale “questa pagina è stata creata esclusivamente per attività criminali” e il più attuale “questa pagina è stata hackerata e ora è gestita da una banda di criminali”. Non appena troveremo qualcosa di convincente, rinomineremo il rilevamento e aggiorneremo questo articolo.

Cos’è successo?

Dopo aver detto tutte le cose importanti, è giunto il momento di una lezione di storia rapida e indolore:

  • un anno fa, il ricercatore olandese Willem de Groot scoprì che alcuni negozi erano stati hackerati
  • i report dimostrarono che segnalare i negozi violati ai rispettivi proprietari non aveva avuto l’esito sperato
  • De Groot comunicò le proprie scoperte a Google Safe Browsing
  • dal momento che il problema si sta facendo sempre più serio, abbiamo deciso di intervenire per proteggere i nostri clienti:
  • abbiamo l’elenco
  • abbiamo elaborato strumenti in grado di verificare se i negozi siano ancora infetti
  • abbiamo aggiunto i negozi pericolosi alla nostra protezione SBA/Scout (per l’esattezza al nostro database AUC, Avira URL Cloud)
  • continueremo a monitorare i negozi per mantenere l’elenco aggiornato

Perché c’è voluto così tanto?

In realtà non c’è affatto voluto tanto. Le pagine per il completamento della transazione infette sono sempre state rilevate come tentativo di phishing e bloccate. Sei stato protetto, ma piuttosto tardi se consideriamo l’intero processo, ovvero dopo aver passato del tempo nel negozio online infetto, riempito il tuo carrello degli acquisti e aspettato con ansia di pagare. Quello è stato il momento in cui siamo intervenuti per la prima volta. Adesso per aiutarti a non perdere tempo blocchiamo l’intero dominio.

A proposito, se desideri più informazioni sui negozi hackerati dai un’occhiata ai link in basso:

Restate al sicuro, proteggetevi l’un l’altro
Thorsten Sick

Questo articolo è disponibile anche in: IngleseTedescoFrancese

I use science to protect people. My name is Thorsten Sick and I do research projects at Avira. My last project was the ITES project where I experimented with Sandboxes, Sensors and Virtual Machines. Currently I am one of the developers of the new Avira Browser