L’aumento del settore e-commerce ha portato all’evoluzione di nuovi metodi da parte dei criminal hacker per trarre profitto dalle transazioni online fraudolente. Pertanto, non bisogna mai sottovalutare le minacce.
Quali sono i principali rischi per i proprietari di piattaforme di e-commerce e come possono proteggersi efficacemente?
La frode Card not present (CNP)
Le piattaforme di vendita online, per loro natura, non richiedono la presenza fisica della carta di credito o debito poiché è sufficiente l’utilizzo di codici o password. Questo tipo di transazioni è noto come “Card not Present”. Tuttavia, le informazioni necessarie per completare queste transazioni sono sempre più facilmente ottenibili a causa degli enormi data breach che hanno colpito diverse istituzioni finanziarie negli ultimi anni.
I criminal hacker acquistano queste informazioni dai marketplace del Dark Web e le incrociano con altre informazioni facilmente reperibili dai social, come l’indirizzo di residenza, per completare le transazioni online. Spesso le vittime non si accorgono del furto di credenziali fino a quando non leggono l’estratto conto o vengono contattate dalla loro banca.
I criminal hacker utilizzano anche metodi come phishing, skimming, malware e spyware per acquisire le informazioni necessarie per commettere queste frodi.
Così gli hacker sfruttano i dati rubati
Una volta ottenute le credenziali, i criminal hacker utilizzano le carte in tre modalità diverse, a seconda dei loro scopi ed esigenze. Uno dei metodi più comuni è quello di effettuare piccoli pagamenti ricorrenti (solitamente di circa 40-50 euro al mese), poiché questi sono meno evidenti e possono passare inosservati dalla vittima per diversi mesi.
Inoltre, i criminal hacker utilizzano le informazioni bancarie delle loro vittime per mascherare queste transazioni come fatture legittime basate sugli acquisti che la vittima fa regolarmente durante il mese o il bimestre. In aggiunta, i criminal hacker utilizzano le criptovalute per convertire immediatamente il denaro sottratto in una valuta non tracciabile o in Gift Card, che sono sempre più popolari tra i criminal hacker e vengono spesso rivendute attraverso siti appositi.
Cyber security ed e-commerce: difendere le piattaforme
A differenza di molte frodi tradizionali, la responsabilità di proteggere i dati del cliente ricade principalmente sui commercianti e sui provider di carte. Esistono molte opzioni e strumenti per mettere in sicurezza gli store, come l’autenticazione multi-fattore e le autorizzazioni tramite scansioni biometriche. Tuttavia, creare una difesa solida significa proteggere tutti gli aspetti del proprio sito e-commerce, non solo la parte dei pagamenti. Uno degli aspetti spesso trascurati dai proprietari di e-commerce, soprattutto nella fase di lancio, è la scelta del certificato SSL. Molti piani di web hosting offrono un certificato SSL gratuito, ma se si hanno aspirazioni di crescita, è consigliato optare per un certificato SSL di convalida estesa (EV). Questo tipo di certificato offre il massimo livello di protezione SSL disponibile e garantisce ai clienti che il sito è affidabile e sicuro per effettuare acquisti. Ottenere un certificato SSL EV richiede più passaggi rispetto al certificato SSL gratuito, ma è un investimento utile per proteggere la propria attività e garantire ai clienti la sicurezza delle transazioni effettuate sul sito. Le tariffe per i certificati SSL EV partono da alcune centinaia di euro all’anno.
Cyber security ed e-commerce: il ruolo della Threat Intelligence
I criminal hacker sono sempre innovativi e difendere un e-commerce dalle minacce informatiche richiede una lotta costante contro un avversario in continuo sviluppo. A causa della vasta gamma di minacce, talvolta è difficile stabilire le priorità e rispondere in modo efficace e tempestivo. Tuttavia, esiste una soluzione a questo problema: la Threat Intelligence. Questo tipo di intelligence fornisce informazioni utili per rilevare le minacce sia interne che esterne alla rete e aiuta le organizzazioni a dare priorità alle loro risposte. L’intelligence sulle minacce è estremamente efficace nell’aiutare a proteggere le risorse critiche, come le informazioni sui clienti e sui pagamenti, nonché la proprietà intellettuale. Inoltre, può aiutare i rivenditori a identificare le risorse più interessanti per gli aggressori, dove si trovano e come accedervi. Con queste informazioni, i team di sicurezza sono in grado di mettere in atto misure di difesa adeguate in anticipo, concentrando le loro risorse sulle minacce più cruciali che prendono di mira le loro reti e infrastrutture. Tuttavia, questo richiede risorse considerevoli e talento, che non sono sempre facili da trovare.
Non sottovalutare patch e aggiornamenti
fondamentale della prevenzione della cyber security. Ogni azienda, in particolare i negozi online, deve assicurarsi di installare tempestivamente gli aggiornamenti software e le patch di sicurezza per evitare di diventare vulnerabili agli attacchi informatici dei criminal hacker. Infatti, uno dei metodi preferiti dai criminal hacker per sottrarre dati sensibili è sfruttare le vulnerabilità non aggiornate delle applicazioni web e del software. Per prevenire le frodi informatiche, è necessario individuare e chiudere le potenziali vulnerabilità prima che i criminal hacker ne approfittino. Ignorare gli avvisi di aggiornamento e le patch di sicurezza può causare gravi danni al tuo business.
Cyber security ed e-commerce: difendersi da malware e formjacking
Aggiornare regolarmente il proprio sito alle ultime versioni dei software e delle Web App disponibili è un passo importante per prevenire i rischi legati ai malware più noti. Tuttavia, questo potrebbe non essere sufficiente poiché i criminal hacker sono costantemente alla ricerca di nuove vulnerabilità. In particolare, gli zero-day sono vulnerabilità critiche per cui non esiste ancora una patch di sicurezza disponibile e rappresentano uno dei pericoli più preoccupanti, poiché possono rimanere inosservati per mesi. Per prevenire e individuare questi pericoli, è necessario implementare programmi di scansione periodica, come il Vulnerability Assessment, per individuare potenziali minacce nascoste. Inoltre, l’emergere di nuovi tipi di malware, come il formjacking, richiede una maggiore attenzione da parte dei gestori di piattaforme. Questo tipo di attacco sottrae i dati dai form di registrazione dei siti web e può rimanere inosservato per mesi. Senza attività di Vulnerability Assessment regolari, può essere difficile individuare questi malware. Le conseguenze del formjacking possono essere gravi, come dimostra il caso di British Airways, che ha subito una perdita di dati di pagamento di oltre 400.000 clienti e una multa di 229 milioni di euro imposta dalle autorità del Regno Unito. Per prevenire questi rischi, è fondamentale implementare programmi di scansione periodica e adottare misure di sicurezza adeguate.
L’onnipresente pericolo phishing
Il phishing è ancora oggi un grave pericolo per le piattaforme di e-commerce. Questo metodo è diventato molto più sofisticato e pericoloso rispetto alle e-mail sgrammaticate di inizio millennio. I criminal hacker possono tentare di impersonare i gestori della piattaforma o membri del loro team nelle e-mail, chiedendo bonifici urgenti, modifiche dell’IBAN di pagamento, accesso a link malevoli o informazioni sensibili. Il phishing è un problema serio poiché i phisher sono alla ricerca di denaro, informazioni riservate, accessi ai database o dati sui pagamenti dei clienti. Sono in grado di rendere convincenti le richieste urgenti e utilizzano siti di phishing ad hoc che sembrano legittimi ma che in realtà sono in grado di sottrarre le credenziali di accesso. Per scongiurare le minacce derivanti dalle nuove forme di phishing, i gestori delle piattaforme di e-commerce devono aumentare la security awareness dei propri dipendenti attraverso attività di formazione mirata. Il Phishing Attack Simulation è un servizio che permette alle aziende di essere al riparo in caso di attacchi di phishing attraverso delle vere e proprie simulazioni di attacco. Attraverso questo servizio, i dipendenti possono apprendere come individuare una vera e-mail di phishing e evitarla, riducendo sensibilmente il rischio di subire in futuro un qualsiasi attacco di phishing; mettere un focus sulla sicurezza informatica del sito e-commerce significa proteggere l’integrità del proprio business, la sicurezza dei propri clienti e la brand reputation della piattaforma.