La nuova frontiera delle frodi online non passa più da siti palesemente contraffatti o email di phishing evidenti. Secondo NordVPN, cresce un fenomeno più insidioso: il cosiddetto “checkout silenzioso”, una forma di attacco che sottrae i dati di pagamento mentre l’utente compila il modulo di acquisto su un sito e-commerce del tutto legittimo.
Il meccanismo alla base è l’e-skimming, una tecnica che prevede l’inserimento di codice JavaScript malevolo all’interno delle pagine di checkout. L’equivalente digitale degli skimmer installati fisicamente su sportelli bancomat o pompe di benzina. La differenza è che, online, non esiste alcun segnale visibile.
E-skimming: il furto invisibile nei siti legittimi
La pericolosità dell’e-skimming risiede nella sua invisibilità. L’utente prosegue la navigazione senza pop-up sospetti, senza rallentamenti anomali e senza avvisi del browser. Anche le aziende colpite spesso non dispongono di indicatori immediati che rivelino la raccolta occulta dei dati in background.
Secondo l’Annual Payment Fraud Intelligence Report, nel 2024 le attività di e-skimming sono quasi triplicate rispetto al 2023. Oltre 11.000 domini e-commerce unici risultano infettati di recente, con il totale annuale più alto mai registrato.
Come spiega Marijus Briedis, CTO di NordVPN, gli attaccanti impiantano skimmer JavaScript che operano direttamente nel browser dell’utente. Il codice intercetta in tempo reale numeri completi delle carte, CVV, nomi, indirizzi email, date di scadenza e altri dati sensibili. In alcuni casi, la sottrazione avviene prima ancora che il cliente prema il pulsante “Invia”.
La vulnerabilità della supply chain digitale
Le moderne pagine di checkout non si limitano a caricare un semplice modulo di pagamento. Integrano una combinazione di script esterni: strumenti di analisi, widget di pagamento, tracker di marketing, librerie UX e sistemi di test A/B. Si tratta di fornitori considerati affidabili, ma raramente oggetto di monitoraggio continuo lato browser.
Questa complessità crea una superficie di attacco ampia. Un singolo plugin obsoleto o un fornitore compromesso può diffondere uno skimmer a tutti i negozi che utilizzano quel componente. Il codice dannoso si distribuisce come uno script ordinario, si mimetizza tra quelli legittimi e può restare inattivo per periodi prolungati. Alcune varianti si attivano solo in specifiche aree geografiche o in determinate fasce orarie, con l’obiettivo di ridurre il rischio di individuazione.
Il furto dei dati può avvenire durante la digitazione, senza alcuna interazione finale con il server. In pratica, l’operazione di esfiltrazione si compie prima che l’ordine venga formalmente inviato.
Dati rubati e mercato nero
Una volta raccolti, i dati finiscono rapidamente nei circuiti criminali. Le carte sottratte vengono vendute sui marketplace del dark web a prezzi estremamente bassi. Secondo una recente ricerca di NordVPN, una carta di pagamento può essere proposta a circa 9 dollari, una cifra paragonabile al costo di un biglietto del cinema.
Gli acquirenti utilizzano queste informazioni per acquisti fraudolenti rapidi, attacchi di credential stuffing, appropriazione di account o riciclaggio tramite buoni regalo. Le operazioni avvengono spesso entro poche ore dal furto, quando la vittima non ha ancora rilevato anomalie.
Briedis sottolinea che questi attacchi riescono perché si annidano negli script essenziali dei siti e-commerce. In assenza di controlli puntuali sugli script lato browser, il codice iniettato può operare senza essere rilevato e scomparire senza lasciare tracce evidenti nei log tradizionali.
Come proteggersi durante gli acquisti online
La difesa contro l’e-skimming richiede attenzione sia da parte degli utenti sia da parte dei gestori dei siti. Per chi acquista online, alcune misure riducono in modo significativo il rischio.
È consigliabile preferire carte virtuali o monouso, oppure sistemi di pagamento tokenizzati come Apple Pay e Google Pay, che non espongono il numero reale della carta al merchant. Evitare il salvataggio permanente dei dati di pagamento sui siti web e disattivare la compilazione automatica del browser per i campi sensibili rappresenta un’ulteriore barriera.
L’uso di strumenti di sicurezza in grado di bloccare script e tracker dannosi in tempo reale può offrire un livello aggiuntivo di protezione. Occorre inoltre prestare attenzione a estensioni del browser non necessarie o poco conosciute e monitorare con regolarità gli estratti conto, così da individuare tempestivamente eventuali transazioni sospette.
Il fenomeno del “checkout silenzioso” dimostra che la fiducia nel brand di un e-commerce non basta più. Anche su piattaforme legittime, la sicurezza dei dati di pagamento dipende dall’intera catena di codice che opera dietro la pagina di acquisto.
