Secondo un’indagine di Proofpoint, i siti di viaggio italiano sono insicuri. Infatti il 25% dei siti del turismo online non ha implementato alcuna misura come Dmarc (Domain-based Message Authentication, Reporting & Conformance), il protocollo che evita che messaggi fraudolenti raggiungano i clienti.
“Con l’estate alle porte, attività come le prenotazioni per le vacanze e la consultazione di siti specializzati aumentano e con esse il rischio di frodi informatiche”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
“È allarmante constatare che il 45% dei principali siti di viaggio italiani non adotta adeguate misure per proteggere i propri clienti dalle truffe via email, come il phishing o i domini look-alike”, aggiunge Stefano Cinque, Cyber security Sales Specialist per Maticmind.
“In un momento in cui la domanda cresce, la spesa per le vacanze aumenta e l’email è ancora il canale primario per conferme, offerte e promozioni, non possiamo permetterci di trascurare la fiducia digitale”, conferma Raul Arisi, Cyber security Marketing Director per Maticmind.
Indice degli argomenti
Siti di viaggio italiani insicuri: un quinto senza il livello “rifiuto” Dmarc
Solo il 75% dei siti italiani di viaggio, su cui ProofPoint ha idagato, ha pubblicato un record di autenticazione email Dmarc di base. Ciò pone l’Italia a un gradino inferiore di sicurezza di base dei messaggi di posta elettronica rispetto alle aree Emea.
“Molte aziende esitano a implementare Dmarc con policy restrittive per paura di bloccare email legittime, ma con una corretta configurazione e un servizio di monitoraggio / configuraizone affidabile, il rischio si riduce drasticamente”, avverte Edoardo Cerafogli, Cyber Security Analyst Coordinator per Maticmind.
Appena il 55% dei principali siti di viaggio italiani sfrutta il livello “rifiuto” di Dmarc. Vuol dire che il 45% lascia i propri clienti, personale e partner più esposti a ricevere email truffaldine che impersonano questi marchi.
“In ambito lavorativo, è fondamentale sensibilizzare i dipendenti a riconoscere tentativi di phishing, soprattutto in settori ad alto volume transazionale”, mette in guardia Paganini che aggiunge: “La scarsa sicurezza di alcuni siti potrebbe consentire ad attaccanti di compromettere i siti stessi e di utilizzarli per attacchi di watering hole, ovvero attacchi in cui i visitatori sono esposti a compromissione dei propri sistemi per lo sfruttamento di falle nel browser od altre tecniche di attacco”.
In media, l’88% dei principali siti di viaggio in area Emea ha reso pubblico un record Dmarc di base. Tuttavia, solo il 46% di tutti i siti presi in esame ha adottato il livello “rifiuto”.
“Il tema è più che mai attuale, soprattutto in vista dell’estate e degli importanti volumi di business generati dal settore turistico. È sorprendente vedere quanto margine di miglioramento ci sia ancora sull’adozione di Dmarc, considerando il ruolo cruciale che svolge nella protezione di utenti e brand. Il turismo online è un settore ad altissimo rischio per le frodi via email ed alzare il livello di protezione non è più un’opzione, ma un’esigenza”, sottolinea Andrea Mariucci, Head of Cyber Defence Center per Maticmind.
Il 54% lascia i clienti vulnerabili a tentativi frode via email.
“False conferme di prenotazione, offerte troppo belle per essere vere e richieste di pagamento urgenti per presunti cambi di volo sono tattiche comuni. Si tratta di comunicazioni fraudolente che possono apparire molto convincenti, ma mettono a rischio le finanze e i dati personali dei viaggiatori”, secondo Matt Cooke, cyber security strategist di Proofpoint.
Come mitigare il rischio dei siti viaggio insicuri
Gli operatori di viaggio devono fare tutto il possibile per impedire l’invio a loro nome di email truffaldine convincenti ai turisti.
“Investire nella sicurezza delle email non è solo una questione tecnica, ma anche una questione di responsabilità sociale. Le aziende devono proteggere i propri clienti da frodi e truffe, e l’implementazione del protocollo Dmarc al livello massimo dovrebbe essere una priorità assoluta. La mancanza di adeguate misure di sicurezza può portare a una perdita di fiducia da parte dei clienti e, in un mercato competitivo come quello dei viaggi online, la sicurezza delle comunicazioni dovrebbe essere una priorità per differenziarsi e garantire la fiducia dei consumatori”, avverte Angelo Gazineo, Cybersecurity Sales Specialist per Maticmind.
“Un solo messaggio fraudolento può significare un cliente perso per sempre, una reputazione macchiata, un’esperienza vacanziera trasformata in incubo. Dmarc non è un dettaglio tecnico per addetti ai lavori: è una barriera concreta contro l’abuso del nostro marchio e la tutela del nostro pubblico. Chi lavora nel turismo ha oggi un dovere in più: proteggere non solo il viaggio, ma anche il viaggio digitale che lo precede”, sottolinea Raul Arisi.
Occorre usare password forti e uniche, oltre ad attivare l’autenticazione a più fattori (MFA) per tutelare le prenotazioni e gli account di viaggio.
“La sicurezza delle email è un investimento che può portare a un ritorno significativo in termini di fiducia e fedeltà dei clienti. Altresì è vero che le aziende che prendono sul serio la sicurezza delle comunicazioni possono distinguersi nel mercato e costruire relazioni più solide con i propri clienti. Invece, le aziende che non adottano misure di sicurezza adeguate rischiano di essere esposte a anzioni legali e normative. La protezione dei dati dei clienti è una questione seria e le aziende devono essere consapevoli delle proprie responsabilità legali”, aggiunge Angelo Gazineo.
Inoltre, bisogna esprimere diffidenza verso offerte non richieste che appaiono troppo attraenti per essere vere.
Non solo questione di reputazione
“Un solo messaggio fraudolento può significare un cliente perso per sempre, una reputazione macchiata, un’esperienza vacanziera trasformata in incubo. Dmarc non è un dettaglio tecnico per addetti ai lavori: è una barriera concreta contro l’abuso del nostro marchio e la tutela del nostro pubblico. Chi lavora nel turismo ha oggi un dovere in più: proteggere non solo il viaggio, ma anche il viaggio digitale che lo precede”, spiega Raul Arisi.
Molto importante è anche evitare di cadere vittima di phishing e smishing, che conducono le vittime su false pagine di accesso ideate per carpire informazioni personali.
“L’adozione del livello ‘reject’ è fondamentale per proteggere utenti e brand da frodi sofisticate. Integrare anche BIMI migliora la fiducia del destinatario, rendendo il logo visibile solo se l’email è autenticata. Oggi ci sono anche nuove soluzioni di orchestrazione della posta e reportistica Dmarc che semplificano il deployment. È il momento di smettere di rimandare: la sicurezza email è una responsabilità attiva”, conclude Edoardo Cerafogli, Cyber Security Analyst Coordinator per Maticmind.
Non bisogna mai fare click diretti sui link presenti in email non sollecitate, ma è meglio digitare l’indirizzo del sito web ufficiale direttamente nel browser.
Tuttavia “in un contesto in cui le frodi online e telefoniche sono in costante crescita, non è più accettabile che la responsabilità venga scaricata esclusivamente sulla consapevolezza del cliente. Gli operatori del settore hanno il dovere di implementare misure concrete come l’adozione di protocolli di autenticazione delle email, in particolare il Dmarc (Domain-based Message Authentication, Reporting & Conformance), che consente di contrastare attivamente l’abuso del dominio aziendale da parte di attori malevoli. Parallelamente, è fondamentale attivarsi per l’identificazione e l’abbattimento dei siti fraudolenti con domini simili a quelli legittimi, oltre a stabilire processi hiari e ben comunicati per il riconoscimento delle comunicazioni ufficiali. La fiducia dell’utente deve poggiare su tecnologie di protezione avanzate e su una strategia di sicurezza proattiva, non soltanto sulla prudenza individuale”, mette in guardia Stefano Cinque.
“La reazione più comune a indagini come quella sull’adozione del protocollo Dmarc si inserisce spesso in un modello culturale che potremmo definire 1.0, basato sull’idea che ‘tutto va bene finché funziona’. È un atteggiamento simile a quello che si ha leggendo statistiche sugli effetti nocivi derivanti da stili di vita disordinati: è vero che finché non emergano delle criticità gli stimoli correttivi sono blandi, è vero anche che sono gli elementi correttivi sono conosciuti e governati”, conclude Giovanni Del Panta, Responsabile Cybersecurity Architects per Maticmind: “Nel contesto analizzato indirizzare l’aspetto correttivo vuole dire innanzitutto approfondire la comprensione. Non si tratta semplicemente di ‘rispettare un limite di velocità’ – gesto che si compie istintivamente alzando il piede dall’acceleratore – ma di capire davvero come si guida l’auto”.
“La cyber security deve restare una priorità anche quando si pianificano ferie e spostamenti”, conclude Paganini.
