La minaccia del “checkout silenzioso”: i dati della carta rubati prima di premere “Invia”

Gli esperti di NordVPN mettono in guardia dall'e-skimming,l’inserimento di codice JavaScript dannoso nei siti di e-commerce legittimi per sottrarre i dati di pagamento dei clienti durante il checkout, l’equivalente online dei dispositivi di skimming fisici su bancomat e pompe di benzina.

La pericolosità dell’e-skimming risiede nella sua invisibilità: gli utenti proseguono la navigazione senza alcun segnale evidente, mentre le aziende spesso non dispongono di indicatori immediati che rivelino la raccolta occulta dei dati in background.

Secondo ilRapporto annuale sulle frodi nei pagamenti(Annual Payment Fraud Intelligence Report), l'e-skimming è uno dei metodi più efficaci per il furto di dati. Nel 2024 le attività di e-skimming sono quasi triplicate rispetto al 2023, con oltre 11.000 domini di e-commerce unici infettati di recente, segnando il totale annuale più alto mai registrato.

“Gli hacker impiantano skimmer JavaScript che funzionano silenziosamente nel browser, acquisendo in tempo reale numeri completi delle carte, CVV, nomi, indirizzi email, date di scadenza e altri dati sensibili, a volte anche prima che l'utente completi l'acquisto”, afferma Marijus Briedis, CTO di NordVPN. “È possibile fare acquisti su un sito legittimo e comunque subire il furto dei propri dati senza pop-up, senza avvisi, praticamente un furto silenzioso”.

Le moderne pagine di checkout caricano una combinazione di codici esterni, tra cui tag di analisi, widget di pagamento, tracker di marketing, librerie UX e strumenti di test A/B. Questi fornitori sono affidabili, ma raramente vengono monitorati da vicino. Questa catena di fornitura crea un varco per l'e-skimming: il codice dannoso viene distribuito attraverso il sito come un normale script e, una volta caricata la pagina, viene eseguito localmente nel browser dell'acquirente.

Un singolo fornitore compromesso o un plugin obsoleto può diffondere silenziosamente uno skimmer a tutti i negozi che lo utilizzano. Una volta presente, il codice si mescola agli script legittimi, consentendogli di rimanere inattivo o di attivarsi solo in regioni od orari specifici per acquisire dati. Il furto può avvenire anche prima che il cliente prema il pulsante “Invia”.

Una volta raccolti, i dati entrano solitamente in un'economia sommersa in costante e rapida evoluzione. Gli aggressori di solito vendono le credenziali rubate sui mercati del dark web e, come mostra unarecente ricerca di NordVPN, quelle carte di pagamento vengono vendute a prezzi davvero bassi, pari a quelli dei biglietti del cinema, circa 9 dollari (quasi 8 euro). Gli acquirenti le utilizzano poi per effettuare acquisti rapidi e fraudolenti, credential stuffing, appropriazione di account o riciclaggio di buoni regalo, spesso entro poche ore dal furto.

“Questi attacchi riescono perché si annidano negli script essenziali dei siti e-commerce,” commenta Marijus Briedis, CTO di NordVPN. “In mancanza di un controllo puntuale sugli script lato browser, il codice iniettato può agire senza essere rilevato, acquisire tutti i dettagli della carta di credito e svanire senza lasciare tracce.”