Il periodo delle feste e dello shopping natalizio anche quest’anno è giunto a conclusione, ma chiuso un periodo dedicato alle compere se ne apre un altro. Con alle porte il periodo dei saldi non bisogna abbassare il livello di allerta per i siti e-commerce nei confronti del pericolo criminal hacker.
Ma quali sono i principali rischi che corrono i proprietari di queste piattaforme e come possono difendersi efficacemente?
Indice degli argomenti
La frode Card not present (CNP)
La crescita del settore e-commerce è stata, sfortunatamente, proporzionale allo sviluppo da parte dei criminal hacker di vari metodi per trarre vantaggio da transazioni economiche elettroniche fraudolente.
Per loro natura le piattaforme di vendita on-line non richiedono la presenza fisica della carta di credito o debito – lo sappiamo tutti – ma è sufficiente l’utilizzo di codici o semplici password (si pensi a sistemi come PayPal), da qui la nomea di Card not Present affibbiata a queste transazioni.
Il rischio è implicito, le poche informazioni necessarie a completare queste transazioni, che spesso si limitano al codice CVV che si trova sul retro delle carte di credito e all’indirizzo di fatturazione dell’intestatario, sono sempre più facilmente reperibili a causa dell’aumentare di massicci data breach o data leak che hanno colpiti svariati istituti finanziari negli ultimi anni.
I criminal hacker – spesso e volentieri – acquistano queste informazioni “in blocco” dai marketplace del Dark Web (un sistema, ironicamente, molto simile all’e-commerce che opera alla luce del sole, tra cui spiccano piattaforme come Joker’s Stash) e incrociano i dati acquistati con le poche informazioni necessarie a completare i requisiti mini di sicurezza per completare gli acquisti online (come l’indirizzo di residenza), troppo spesso facilmente reperibili anche semplicemente facendo Information Gathering dai social.
Uno dei motivi che rende così popolare questo tipo di frode è il fatto che spesso e volentieri la vittima non si accorge del furto di credenziali fino a quanto non legge il suo estratto conto o viene direttamente contattato dalla sua banca.
Ma non è solo attraverso l’acquisto di dati rubati sul Dark Web che i criminal hacker recuperano le credenziali per commettere queste frodi: si avvalgono anche di metodi più “diretti” di acquisire queste informazioni come phishing, skimming e attacchi malware e spyware.
Così gli hacker sfruttano i dati rubati
Una volta ottenute le credenziali, solitamente i criminal hacker utilizzano le carte in tre modalità ben distinte a seconda di scopi ed esigenze.
Uno dei metodi più comuni – data la sua minore rilevabilità – è quello di utilizzare le carte per fare dei piccoli pagamenti ricorrenti (nell’ordine di 40-50 euro mensili) che la vittima potrebbe ignorare anche per svariati mesi.
Come se non bastasse, attingendo alle informazioni bancarie dei propri target i criminal hacker riescono spesso a mascherare queste transazioni come fatture legittime basate sugli acquisti che la vittima fa regolarmente durante il mese o bimestre.
A questo tipo di pagamenti si aggiunge l’evergreen delle criptovalute che permettono ai cyber criminali di convertire immediatamente il denaro sottratto in valuta non ritracciabile o in Gift Card – sempre più popolari tra i criminal hacker – che vengono spesso rivendute attraverso siti appositi.
Cyber security ed e-commerce: difendere le piattaforme
A differenza di molte frodi “vecchio stampo” l’onere di difendere i dati del cliente risiede più in carico ai commercianti e provider di carte.
Le vie percorribili – e gli strumenti a disposizione – per mettere in sicurezza gli store non mancano: dall’autenticazione multi-fattore alle autorizzazioni via scan biometrici.
Ma approntare una difesa solida non significa solo proteggere la parte dei pagamenti del proprio sito e-commerce. Creare un perimetro saldo significa partire con un approccio top-down e omnicomprensivo di tutti gli aspetti che lo comprendono.
Quasi tutti coloro che hanno un sito web sanno di aver bisogno di un certificato Secure Socket Layer (SSL) per dimostrare che il loro sito è affidabile.
Un aspetto, però, a volte trascurato o ignorato da parte dei proprietari degli e-Commerce, soprattutto nella fase di lancio dei loro negozi, è che i certificati SSL non sono tutti uguali.
L’opzione gratuita di SSL che viene fornita con molti piani di web hosting può funzionare abbastanza bene per un piccolo sito che non ha molti visitatori e di conseguenza gestisce un volume di informazioni limitato.
Ma se si hanno aspirazioni di crescita è consigliato adottare un SSL di convalida estesa (Extended Validation o EV). Con un SSL EV, i vostri visitatori vedono il lucchetto verde e una barra verde con il nome della vostra azienda, a dimostrazione che avete la a cuore la loro sicurezza con il massimo livello di protezione SSL disponibile.
Certo, ottenere un SSL EV richiede più passaggi rispetto al certificato SSL gratuito. Di norma occorre fornire al provider informazioni quali:
- la licenza commerciale o la registrazione;
- l’indirizzo fisico;
- dati personali.
Le tariffe EV SSL partono da qualche centinaio di euro all’anno, ma si tratta comunque di un investimento utile che protegge la vostra attività e assicura ai vostri clienti di poter fare acquisti in tutta sicurezza con voi.
Cyber security ed e-commerce: il ruolo della Threat Intelligence
I criminal hacker sono costantemente innovativi, quindi difendere un e-commerce dalle minacce informatiche significa combattere contro un soggetto in rapida e continua evoluzione. A causa dell’ampia gamma di minacce, spesso è però difficile sia stabilire delle priorità sia rispondere in modo efficace e tempestivo.
Giocare d’anticipo è uno dei migliori metodi per scongiurare i pericoli, ma questo, così come rispondere agli alert o indagare sugli incident, richiede risorse considerevoli, per non parlare del talento, non sempre facilmente reperibili.
Esiste una soluzione a questo problema: la Threat Intelligence, in grado di fornire una actionable intelligence che mette in condizione le organizzazioni di rilevare le minacce sia all’interno che all’esterno della loro rete e dare priorità alle loro risposte.
La ragione per cui è così importante è che permette ai team di sicurezza di tutte le dimensioni di concentrare le loro risorse sulle minacce più cruciali che prendono di mira le loro reti e infrastrutture.
L’intelligence sulle minacce è anche estremamente efficace nell’aiutare a identificare e proteggere le risorse critiche, come le informazioni sui clienti e sui pagamenti, nonché la proprietà intellettuale.
Può aiutare i rivenditori a definire ciò che è di maggior interesse per gli aggressori, dove si trovano queste risorse e come è possibile accedervi.
Armati di queste informazioni, i team di sicurezza sono in grado di mettere in atto misure di difesa adeguate in anticipo.
Non sottovalutare patch e aggiornamenti
Questa è una delle basi della cyber security preventiva: aggiornamenti software e patch tempestive sono un must per ogni azienda, ma soprattutto per i negozi online. Non a caso uno dei metodi preferiti dei criminal hacker per sottrarre dati sensibili è quello di sfruttare le vulnerabilità non aggiornate di Web application e software.
Il lavoro di un criminal hacker parte spesso e volentieri dalla fase d’individuazione dei punti deboli da poter attaccare, questo rende il lavoro di prevenzione frodi una sorta di corsa costante per anticipare eventuali vulnerabilità e “chiuderle”.
Ignorare patch e avvisi di aggiornamento potrebbe risultare catastrofico per il tuo business.
Cyber security ed e-commerce: difendersi da malware e formjacking
Mantere il proprio sito aggiornato alle ultime versioni dei software e Web App disponibili sarà sufficiente a scongiurare la maggior parte dei rischi legati ai malware più conosciuti, ma potrebbe non bastare.
I criminal hacker sono sempre alla ricerca di nuove via per violare i database che prendono di mira e non di rado purtroppo riescono a scovare nuove vulnerabilità. Stiamo parlano degli arcinoti zero-day – ovvero quelle criticità per cui ancora non esiste una patch di sicurezza.
Uno dei pericoli più preoccupanti legati agli zero-day è la loro abilità di rimanere inosservati anche per mesi. In questo periodo il sito e-commerce potrebbe perdere un enorme quantità di dati per mano dei criminal hacker. Per questo motivo è fondamentale per ogni gestore di piattaforma implementare programmi di scansione periodica atti a individuare potenziali minacce nascoste, servizi come il Vulnerability Assessment.
L’emergere di nuovi tipi di malware ha visto anche la nascita di nuovi metodi e di “variazioni sul tema”. Recentemente, infatti, ha cominciato a trovare sempre più riscontro un nuovo tipo di attacco: il formjacking. Questo sottrare i dati dai form di registrazione dei siti in una maniera non troppo dissimile – per metodologia – agli skimmer che spesso vengono installati su pompe di benzina e bancomat.
I formjacker approfittano dei punti deboli delle Web application – spesso plugin di terze parti – per inserire codice malevolo in grado di sottrarre i dati inseriti dai clienti ogni volta che si registrano per effettuare un acquisto o creare un account. Senza attività di Vulnerability Assessment regolari potrebbe non essere possibile rilevare questi malware per mesi.
E le conseguenze del formjacking non sono da prendere alla leggera; basti pensare al caso di British Airways, vittima di questo sistema nel 2018, che ha causato la perdita dei dati di pagamento di oltre 400mila clienti.
Un danno enorme sia dal punto di vista della brand reputation sia economico, grazie alla multa di 229 milioni di euro imposta dalle autorità preposte del Regno Unito.
L’onnipresente pericolo phishing
Non da ultimo, ogni gestore di una piattaforma e-commerce deve sempre avere bene a mente come – ancora oggi – il phishing sia un grave pericolo per il proprio business.
Questo metodo è solo un parente lontano delle e-mail sgrammaticate che vedevamo a inizio millennio, ma si è evoluto ed è molto più sofisticato e pericoloso. Ora, i criminal hacker possono tentare di impersonare voi o i membri del vostro team nelle e-mail.
Per esempio, potrebbero impersonare voi e contattare:
- i vostri dipendenti, richiedendo bonifici urgenti;
- l’amministrazione, chiedendo loro di cambiare l’IBAN dove vengono accreditati i pagamenti
- clienti o dipendenti, chiedendo loro di accedere a un link malevolo in grado di sottrarre i loro dati;
- fornitori e partner, richiedendo informazioni sensibili.
Che siano alla ricerca di denaro, informazioni riservati, accessi ai database o dati sui pagamenti dei clienti, i phisher sono un problema serio. Sanno come far sembrare convincenti le richieste urgenti, sanno che le persone non inviano le credenziali di accesso via e-mail e di conseguenza hanno intensificato e perfezionato l’uso di siti di phishing ad hoc che sembrano legittimi, ma che sono in grado di sottrarre le credenziali di accesso.
Come se non bastasse adesso i loro messaggi possono superare i gateway di posta elettronica progettati per bloccare link e allegati che contenevano malware.
Cosa significa questo?
Significa che per scongiurare le minacce derivanti dalle nuove avanzate forme di phishing i gestori delle piattaforme di e-commerce devono intensificare i loro sforzi per aumentare la security awareness dei propri dipendenti con attività di formazione mirata.
Sfortunatamente il phishing è una delle minacce di cyber security che fa leva principalmente sul fattore umano, e non c’è software di sicurezza che tenga; di conseguenza lo spettro d’azione si deve concentrare qui.
Per far fronte a queste necessità, fortunatamente, esistono servizi come il Phishing Attack Simulation. Questo permette alle aziende di essere al riparo in caso di attacchi di phishing attraverso delle vere e proprie simulazioni di attacco. È infatti possibile, attraverso un’interfaccia web inviare vere e proprie campagne di phishing simulate che generano delle insostituibili occasioni di apprendimento per i dipendenti. Questi, infatti, grazie agli attacchi simulati che emulano una possibile campagna phishing, riusciranno in futuro ad individuare una vera e-mail di phishing e ad evitarla. Il servizio permette di:
- ridurre sensibilmente il rischio di subire in futuro un qualsiasi attacco di phishing;
- avere dei collaboratori informati e sempre vigili oltre che sensibili alla materia;
- diminuire i costi di formazione del personale in materia di sicurezza.
Mettere un focus sulla sicurezza informatica del tuo sito e-commerce significa proteggere l’integrità del tuo business, la sicurezza dei tuoi clienti e, in modo cruciale, la brand reputation della tua piattaforma.
