Il 3 febbraio 2025, è stato rivelato che il negozio online di Casio UK è stato hackerato, compromettendo la sicurezza dei clienti e mettendo a rischio i loro dati personali e credituali. Questo attacco di web-skimming è stato scoperto da Jscrambler, che ha notificato Casio il 28 gennaio 2025. Nonostante la rapida azione di Casio per rimuovere il codice malizioso, i clienti che hanno effettuato acquisti tra il 14 e il 24 gennaio 2025 potrebbero aver avuto i loro dati personali e credituali rubati dai hacker[1][3].
Dettagli dell’Attacco
L’attacco è stato eseguito utilizzando un semplice primo stadio di skimmer piantato sul sito web, che ha dinamicamente caricato uno skimmer di secondo stadio da un provider di hosting russo (ru-jsciot). Lo skimmer di secondo stadio è stato obfuscato utilizzando codifica personalizzata e XOR per evitare la detezione[1][3].
Il processo di esfiltrazione ha utilizzato AES-256-CBC con chiavi e vettori di inizializzazione generati casualmente per ogni richiesta. I dati rubati sono stati trasmessi a domini come app.imagechat.net, collegati a server in Russia[3].
Come Funziona lo Skimmer
Lo skimmer ha intercettato le interazioni degli utenti sulla pagina del carrello e ha rediretto i clienti a una forma di pagamento finta progettata per mimare processi legittimi. Questa forma a tre passaggi ha raccolto dettagli personali e di pagamento prima di esfiltrare i dati a un server di controllo comandi ospitato in Russia[3].
Vulnerabilità di Sicurezza
Casio UK aveva implementato una Policy di Sicurezza del Contenuto (CSP), ma era configurata in modalità “report-only” senza direttive di reporting attive. Ciò ha permesso alle violazioni CSP di essere registrate solo nel console del browser e non di bloccare i script maliziosi[1][3].
Questo è un problema comune tra le organizzazioni a causa della complessità di gestire CSP efficacemente. È essenziale passare da configurazioni “report-only” a soluzioni automatizzate per la sicurezza dei script.
Suggerimenti di Sicurezza
- Implementazione Efficace della CSP:
- Assicurarsi che la CSP sia configurata per bloccare i script maliziosi, non solo per reportarli. Utilizzare direttive come
report-urioreport-toper attivare il reporting e prevenire le violazioni[1][3].
- Assicurarsi che la CSP sia configurata per bloccare i script maliziosi, non solo per reportarli. Utilizzare direttive come
- Monitoraggio Proattivo:
- Utilizzare strumenti avanzati di monitoraggio del sito web per rilevare e rimuovere le infezioni in tempo reale. Questo può includere l’uso di strumenti di analisi del traffico web e di rilevamento di malware[3].
- Consapevolezza degli Utenti:
- Sebbene le anomalie visibili nel UI potrebbero aver allertato gli utenti, la maggior parte degli utenti finali non ha le competenze per identificare tali minacce. È essenziale fornire informazioni di sicurezza ai clienti e incoraggiarli a essere consapevoli delle pratiche di sicurezza online[3].
- Formazione Interna:
- Casio dovrebbe migliorare i programmi di formazione interna per aumentare la consapevolezza degli impiegati sui pericoli di phishing e altre minacce informatiche. Questo può includere esercitazioni di formazione e simulazioni di attacchi per preparare gli impiegati a rispondere adeguatamente[4].
- Collaborazione con Esperti di Sicurezza:
- Collaborare con esperti di sicurezza esterni per rafforzare i sistemi di sicurezza IT all’interno dell’organizzazione. Questo può includere la revisione delle pratiche di sicurezza globali e il rafforzamento delle regole interne[4].
- Risposta Rapida ai Rischi:
- Assicurarsi di avere un piano di risposta rapida per affrontare eventuali attacchi informatici. Ciò può includere la notifica immediata delle autorità di sicurezza e la collaborazione con esperti di sicurezza per risolvere la situazione[4].
L’attacco di web-skimming alla piattaforma di vendita online di Casio UK è un esempio chiaro delle vulnerabilità che persistono negli e-commerce e delle tattiche evolutive dei cybercriminali. È essenziale che le organizzazioni implementino soluzioni di sicurezza efficaci, monitorino proattivamente i rischi e forniscano informazioni di sicurezza ai clienti per proteggere i dati personali e credituali. Casio dovrebbe continuare a rafforzare le sue misure di sicurezza e adottare una strategia di formazione continua per garantire la sicurezza dei dati dei clienti e prevenire future minacce informatiche.
