Un ricercatore dell’azienda di sicurezza RiskIQ ha analizzato l’attacco ai clienti di British Airways in un post nel blog aziendale, nel quale si attribuisce la paternità dell’azione criminale al gruppo noto come Magecart.
Per rubare i dati relativi alle transazioni gli hacker hanno modificato una libreria JavaScript usata all’interno del sito – di per sé legittima – nota come Modernizr. Dai dati raccolti pare che tale libreria non venisse cambiata dal 2012, poi improvvisamente il 21 agosto, alle ore 20:49 GMT, la libreria ha visto l’aggiunta di 22 linee di codice. Il codice è molto semplice, poiché non fa altro che inviare a un server controllato dai cybercriminali i dati della form di pagamento, ma solo dopo che l’utente ha fatto clic sul tasto invio del modulo, o con il mouse (quindi da computer, intercettando l’evento mouseup) oppure con un tocco sul touchscreen (quindi da dispositivo mobile, intercettando l’evento touchend).
I dati venivano inviati in formato JSON a un server con IP 89.47.162.248, che secondo il ricercatore si trova fisicamente in Romania, ma che appartiene a un provider Lituano. Da notare il dominio usato per il server degli hacker, baways.com, che a un’occhiata superficiale potrebbe sembrare un dominio appartenente a British Airways.
Le modalità dell’operazione e il livello di personalizzazione fanno intuire come il gruppo abbia preparato l’attacco con cura, studiando il punto migliore dove inserire il codice malevolo e preparando gli asset con settimane di anticipo (il certificato del server usato dagli hacker è stato emesso il 15 agosto).
Il gruppo Magecart, attivo dal 2015, è specializzato nel furto di dati finanziari e negli anni ha messo a segno numerosi colpi, come ad esempio quello contro Ticketmaster avvenuto fra febbraio e giugno di quest’anno.
