Attacco a Magento: un'immagine invisibile da un pixel ruba i dati delle carte di credito

• La campagna di attacco: cosa sta succedendo
• Come funziona il malware nascosto nell'immagine SVG
• Adobe sotto accusa: aggiornamenti che non arrivano
• I rischi per i consumatori e gli operatori e-commerce
• Come difendersi: indicazioni pratiche
• Domande frequenti

Un pixel. Un singolo, invisibile pixel è tutto ciò che serve per svuotare un conto corrente. Non è lo scenario di un thriller distopico, ma la realtà con cui stanno facendo i conti quasi cento negozi online colpiti da una massiccia campagna di web skimming che prende di mira le piattaforme Magento Open Source e Adobe Commerce.

L'attacco, individuato dai ricercatori di sicurezza nelle ultime settimane, si distingue per una tecnica di offuscamento tanto semplice quanto efficace: il codice malevolo viene nascosto all'interno di un'immagine SVG di appena 1x1 pixel, praticamente invisibile a occhio nudo e difficilissima da intercettare con i normali strumenti di monitoraggio.

La campagna di attacco: cosa sta succedendo

Stando a quanto emerge dalle prime analisi, la campagna ha già compromesso decine di e-commerce di diverse dimensioni, dai piccoli negozi artigianali a piattaforme con volumi di vendita significativi. Il bersaglio è sempre lo stesso: i dati delle carte di credito inseriti dagli utenti durante la fase di pagamento.

Gli aggressori riescono a iniettare il proprio codice malevolo nei siti vulnerabili, inserendo un'immagine SVG apparentemente innocua all'interno delle pagine di checkout. L'immagine, grande appena un pixel, non altera in alcun modo l'aspetto della pagina. Nessun segnale visivo, nessun rallentamento percepibile. L'utente completa il suo acquisto senza sospettare nulla, mentre in background i suoi dati di pagamento vengono intercettati e trasmessi a server controllati dai criminali.

La portata dell'attacco ricorda quanto la sicurezza e-commerce resti un fronte critico, spesso sottovalutato proprio da chi gestisce piattaforme di vendita online.

Come funziona il malware nascosto nell'immagine SVG

Il meccanismo tecnico è ingegnoso nella sua semplicità. I file SVG (Scalable Vector Graphics) non sono semplici immagini: essendo basati su XML, possono contenere al loro interno codice eseguibile, inclusi elementi JavaScript.

Gli attaccanti sfruttano questa caratteristica inserendo nell'immagine SVG un handler onload, ovvero un'istruzione che viene eseguita automaticamente dal browser nel momento stesso in cui l'immagine viene caricata. Il codice contenuto nel file si attiva dunque senza alcuna interazione da parte dell'utente.

Una volta in esecuzione, il malware:

• Monitora i campi di input della pagina di pagamento, intercettando numeri di carta, date di scadenza, codici CVV e dati anagrafici del titolare
• Trasmette le informazioni a server esterni controllati dagli aggressori, utilizzando canali crittografati per evitare i sistemi di rilevamento
• Opera in modo silente, senza generare errori, popup o comportamenti anomali che possano insospettire l'utente o il gestore del sito

La scelta di un'immagine da un pixel non è casuale. Le dimensioni minime rendono l'elemento pressoché invisibile nel codice sorgente della pagina, soprattutto nei template complessi tipici degli e-commerce moderni. Anche un'analisi manuale del codice potrebbe facilmente trascurare un tag `![image]()` o `` di quelle dimensioni, confondendolo con un tracker o un pixel di monitoraggio perfettamente legittimo.

Si tratta, in sostanza, di una forma evoluta di skimming delle carte di credito al checkout, la versione digitale dei dispositivi fisici che un tempo venivano installati sugli sportelli bancomat.

Adobe sotto accusa: aggiornamenti che non arrivano

Un elemento che aggrava sensibilmente la situazione riguarda la risposta, o meglio la mancata risposta, di Adobe. L'azienda, che ha acquisito Magento nel 2018 integrandolo nella propria offerta commerciale con il nome di Adobe Commerce, non ha finora rilasciato aggiornamenti di sicurezza per le versioni di produzione attualmente in uso.

Questo significa che i gestori dei negozi online colpiti, o potenzialmente vulnerabili, si trovano di fatto senza una patch ufficiale con cui proteggere le proprie piattaforme. Una situazione che nel settore della cybersicurezza dei negozi online viene definita di esposizione prolungata: il tempo che intercorre tra la scoperta di una vulnerabilità e il rilascio della relativa correzione rappresenta una finestra in cui gli attacchi possono moltiplicarsi indisturbati.

La questione resta aperta e solleva interrogativi non banali sulla responsabilità dei grandi vendor tecnologici nella protezione dei dati di pagamento e-commerce. Quando una piattaforma viene adottata da migliaia di commercianti in tutto il mondo, i tempi di reazione non possono permettersi di essere lenti.

Vale la pena ricordare che, nel panorama tecnologico attuale, la velocità di risposta alle minacce è diventata un parametro competitivo cruciale. In ambiti molto diversi, come quello del Quantum Computing analizzato in relazione alle strategie di Microsoft, si discute proprio del rapporto tra innovazione annunciata e risultati concreti nella protezione delle infrastrutture digitali.

I rischi per i consumatori e gli operatori e-commerce

Per i consumatori, il rischio è diretto e tangibile: il furto dei dati della carta di credito può tradursi in addebiti fraudolenti, clonazione della carta e, nei casi peggiori, furto di identità. Il fatto che l'attacco avvenga su siti apparentemente legittimi e durante una transazione che l'utente ha volontariamente avviato rende la minaccia particolarmente insidiosa.

Per gli operatori e-commerce, le conseguenze sono altrettanto gravi:

• Perdita di fiducia dei clienti, con ripercussioni dirette sul fatturato
• Responsabilità legale ai sensi del GDPR e delle normative italiane sulla protezione dei dati personali, che impongono obblighi stringenti in materia di sicurezza dei trattamenti
• Sanzioni economiche da parte del Garante per la Protezione dei Dati Personali, che in casi di negligenza nella gestione delle vulnerabilità ha già dimostrato di intervenire con decisione
• Decertificazione PCI DSS, lo standard internazionale per la sicurezza dei pagamenti con carta, con conseguente impossibilità di accettare pagamenti elettronici

L'attacco, peraltro, potrebbe avere risvolti significativi anche per il mercato italiano. Magento e Adobe Commerce sono piattaforme ampiamente diffuse tra gli e-commerce del nostro Paese, e un attacco web skimming in Italia su larga scala non è affatto uno scenario teorico.

Come difendersi: indicazioni pratiche

In assenza di una patch ufficiale da parte di Adobe, la difesa passa necessariamente per misure proattive. Gli esperti di sicurezza suggeriscono ai gestori di piattaforme Magento e Adobe Commerce alcune azioni immediate:

• Verificare l'integrità del codice delle pagine di checkout, cercando elementi SVG sospetti o tag con handler onload non riconosciuti
• Implementare una Content Security Policy (CSP) restrittiva, che limiti l'esecuzione di script inline e le connessioni verso domini esterni non autorizzati
• Monitorare il traffico in uscita dal server, identificando eventuali comunicazioni anomale verso IP o domini sconosciuti
• Aggiornare tutti i moduli e le estensioni di terze parti, che spesso rappresentano il punto di ingresso iniziale degli attaccanti
• Attivare sistemi di file integrity monitoring, capaci di segnalare in tempo reale qualsiasi modifica non autorizzata ai file del sito

Per i consumatori, il consiglio più efficace resta quello di utilizzare carte virtuali o prepagate per gli acquisti online, verificare regolarmente gli estratti conto e attivare le notifiche in tempo reale per ogni transazione.

La sofisticatezza di questa campagna dimostra, una volta di più, che nel commercio elettronico la sicurezza non è un costo accessorio ma un investimento strutturale. Un pixel invisibile, in fondo, può fare più danni di quanto si immagini.