Negli ultimi giorni, una nuova tecnica di skimming ha preso di mira i siti di e-commerce basati su Magento, sfruttando il Google Tag Manager (GTM) per rubare i dati delle carte di credito degli utenti. Questo attacco evidenzia ancora una volta come i cybercriminali stiano affinando le loro strategie, utilizzando strumenti legittimi in modo malevolo per aggirare le misure di sicurezza e compromettere transazioni sensibili.
L’uso del Google Tag Manager come vettore di attacco
Il Google Tag Manager è uno strumento ampiamente utilizzato dagli sviluppatori web per semplificare l’implementazione di tag e script senza dover modificare direttamente il codice delle pagine. La sua versatilità lo rende uno strumento essenziale per la gestione della pubblicità e delle analisi di traffico, ma proprio questa flessibilità può essere sfruttata dagli attaccanti per iniettare codice malevolo nei siti web che lo utilizzano.
In questo caso, i criminali informatici hanno compromesso il GTM per caricare uno script dannoso all’interno dei siti Magento, inserendo codice malevolo nel database del sito all’interno della tabella cms_block.content. Questo codice, apparentemente innocuo, caricava uno script GTM che monitorava le sessioni degli utenti e raccoglieva i dettagli delle carte di credito durante il processo di pagamento. Il malware operava in modo silenzioso, intercettando i dati sensibili prima che venissero criptati e inviandoli a server di comando e controllo controllati dagli attaccanti.
Questa tecnica rappresenta un’evoluzione delle classiche operazioni di skimming online, un fenomeno già noto e ampiamente documentato, soprattutto in relazione alle campagne del gruppo Magecart, noto per aver compromesso centinaia di siti e-commerce in tutto il mondo. L’uso di Google Tag Manager come vettore di attacco introduce però un ulteriore livello di complessità, poiché gli script vengono caricati da un dominio di Google, considerato generalmente affidabile dai sistemi di sicurezza.
Le implicazioni per la sicurezza degli e-commerce
L’attacco dimostra come i cybercriminali stiano sfruttando strumenti legittimi per eludere le protezioni tradizionali. Il problema principale è che la maggior parte delle piattaforme di monitoraggio della sicurezza e i filtri anti-malware non considerano sospetto il traffico proveniente da Google, rendendo particolarmente difficile individuare comportamenti anomali legati a GTM.
Un altro aspetto critico è la persistenza del malware. Gli attaccanti possono nascondere codice dannoso all’interno di container Google Tag Manager senza modificare direttamente i file del sito, rendendo il rilevamento più complesso. Questo tipo di attacco mette in evidenza la necessità per le aziende di adottare misure più avanzate di monitoraggio e verifica delle integrazioni di terze parti, spesso considerate sicure per impostazione predefinita.
Come proteggersi dagli attacchi basati su Google Tag Manager
La crescente sofisticazione delle tecniche di skimming richiede un approccio più attento alla sicurezza degli e-commerce. Una delle prime azioni da intraprendere è il monitoraggio costante dei tag GTM per individuare eventuali modifiche sospette. Verificare periodicamente quali script vengono caricati attraverso Google Tag Manager è essenziale per individuare attività non autorizzate prima che possano causare danni.
Allo stesso modo, è fondamentale implementare controlli più stringenti sul codice presente nel database dei siti Magento e assicurarsi che non vi siano modifiche non autorizzate alle tabelle CMS. Audit di sicurezza periodici e una gestione attenta degli accessi agli strumenti di gestione dei tag possono ridurre drasticamente il rischio di compromissione.
Un ulteriore livello di protezione può essere ottenuto tramite l’implementazione di Content Security Policy (CSP) più restrittive, limitando le risorse esterne che possono essere caricate nel sito. Questo approccio consente di controllare in modo più dettagliato quali script vengono eseguiti nel browser degli utenti, impedendo l’inserimento di codice non autorizzato da fonti esterne.
Infine, il monitoraggio del traffico in uscita può essere una strategia efficace per individuare anomalie. Se un sito e-commerce inizia improvvisamente a inviare dati verso domini sconosciuti o non correlati alle normali operazioni aziendali, potrebbe trattarsi di un segnale di compromissione.
La crescente minaccia del web skimming
L’uso di Google Tag Manager per facilitare attacchi di skimming rappresenta un’ulteriore evoluzione nelle tecniche di frode online. I cybercriminali stanno dimostrando di saper sfruttare piattaforme fidate per eludere i controlli di sicurezza, obbligando le aziende a migliorare costantemente le proprie strategie difensive.
Questo caso specifico evidenzia quanto sia necessario adottare un approccio più proattivo alla cybersecurity, con una gestione attenta delle tecnologie di terze parti e un monitoraggio continuo delle attività sospette. Con l’aumento della complessità degli attacchi, la sicurezza degli e-commerce deve essere trattata come una priorità assoluta, evitando di dare per scontata l’affidabilità di strumenti comunemente utilizzati nel settore.
