Il Black Friday, il Cyber Monday e la stagione dello shopping online rappresentano da sempre una grande occasione, non solo per chi deve fare acquisti e per i retailer. Un’attività online in vorticoso aumento, con comportamenti di acquisto, promozione e vendita frenetici che possono essere sfruttati per garantire un ricco bottino ai criminali informatici più intraprendenti.
Piovono le offerte e le promozioni e la frenesia dello shopping aumenta. Secondo le stime di eBay, oltre 20,5 milioni di italiani faranno acquisti durante il Black Friday del 29 novembre e saranno pronti a spendere oltre 2 miliardi e 380 milioni di euro, per una media di 116 euro a persona.
Attenti però perché la distrazione è in agguato e molto consumatori e retailer saranno colpiti, con una conseguente perdita di guadagno e credibilità. Dobbiamo fare tutti del nostro meglio per prevenire gli attacchi e scoraggiare l’ottimismo con il quale i cybercriminali si avvicineranno alla stagione più calda dello shopping online.
Dagli attacchi DoS (Denial of service), che bloccano le prime offerte dei rivenditori impedendo loro di sfruttare le opportunità di guadagno, fino alle campagne di ransomware, che puntano all’estorsione, per gli acquirenti aumenteranno esponenzialmente le probabilità di cadere in qualche tranello.
Tra le tecniche più sfruttate quest’anno ci sarà il formjacking, che i nostri F5 Labs hanno indicato, nell’ultima edizione dell’Application Protection Report 2019, come una delle tattiche di attacco online più utilizzate: è infatti responsabile del 71% delle violazioni dei dati sul Web analizzate nel 2018.
Man mano che sempre più applicazioni web si collegano a componenti critiche, come il carrello degli acquisti, il pagamento tramite carta, gli annunci ADV e le analitiche, il fornitore diventa un obiettivo più interessante, perché il codice può essere fornito a partire da una vasta gamma di sorgenti, che esulano quasi tutte dai controlli tradizionali della sicurezza aziendale. Inoltre, dato che molti siti Web utilizzano le stesse risorse messe a disposizione dalle terze parti, gli aggressori sanno che devono semplicemente compromettere un singolo componente per potere poi passare i dati al setaccio per stabilire il valore di un enorme pool di potenziali vittime.
Un’altra tecnica, antica ma sempre valida, si confermerà tra le preferite: il phishing, che deve il suo successo proprio alla semplicità. Chi attacca non deve preoccuparsi del firewall, di trovare un exploit zero-day, di decifrare la crittografia o di infiltrarsi in una azienda calandosi nel vano ascensore e superando una serie di sensori. È molto più facile ingannare qualcuno e farsi consegnare le sue credenziali. Basta mettere in piedi un’email convincente per persuadere le persone a cliccare su un sito falso.
Inevitabilmente l’attenzione a volte cala e davanti a tanti sconti e offerte è facile che anche i consumatori online più esperti facciano confusione. Ecco quindi alcuni semplici consigli che vale la pena seguire:
Cogliere i segnali evidenti di pericolo – Non bisogna mai fare acquisti utilizzando direttamente i motori di ricerca. Inserite gli indirizzi dei siti web affidabili manualmente e cercate sempre gli errori di grammatica o di formattazione evidenti che potrebbero essere sintomatici di un fake;
Navigare in sicurezza – effettuando acquisti solo su siti che utilizzino la crittografia, come dimostrato dal prefisso “https” e dal simbolo di un lucchetto nel browser;
Non fare affidamento su un falso senso di tranquillità – Il Phishing and Fraud Report 2019 degli F5 Labs ha rilevato che chi sfrutta il phishing continua a fare affidamento sulla credibilità ingannevole e che il 71% dei siti di phishing utilizzano HTTPS per apparire affidabile. I brand e i servizi più imitati sono proprio quelli ai quali ci affidiamo di più, come Facebook, Microsoft Office Exchange e Apple;
Pensare bene prima di cliccare – Riceviamo sempre più spesso email ben scritte e convincenti che richiedono informazioni personali o finanziarie, cosa che normalmente un’azienda non farebbe. Il Phishing and Fraud Report rileva che le email di phishing hanno una probabilità tre volte maggiore di contenere un collegamento dannoso rispetto a un allegato; un buon consiglio è stare alla larga da entrambi;
Fare attenzione alle transazioni difficoltose – se un sito web vi rindirizza verso una terza parte per il pagamento, non cadete nella trappola. Contattate il rivenditore se il meccanismo non è chiaro.
Sul fronte opposto, i rivenditori devono proteggere sia le operazioni sia i clienti. Se qualcosa va storto, le perdite di fatturato possono essere ingenti. Come evidenziato da IBM nel 2019 Cost of a Data Breach Report, il costo medio globale per record di una violazione della vendita al dettaglio è di 119 dollari (con una crescita del 1,7% su base annua). Bisogna quindi prepararsi ad affrontare le minacce a partire da alcune azioni fondamentali:
Dotarsi di un Toolkit antifrode – È essenziale disporre di mezzi per determinare le incoerenze nelle transazioni, come ad esempio se una normale carta di credito di un cliente viene utilizzata da un dispositivo estraneo;
Adottare strumenti di verifica – come l’autenticazione a più fattori, che dovrebbe essere implementata su qualsiasi sistema che si connette a risorse di valore. Idealmente, la crittografia a livello dell’applicazione può integrare anche TLS / SSL per mantenere la riservatezza a livello del browser. Livelli più elevati di visibilità e controllo a livello dell’applicazione consentono di mitigare i rischi legati ad attacchi di injection distribuiti e polimorfi;
Guardare alla protezione specifica del consumatore – perché chi attacca punta proprio su quelli che adottano scarse misure di protezione. Token e crittografia in-app possono proteggere i dettagli personali e finanziari durante tutto il processo di check-out;
Creare un inventario delle applicazioni Web – Il processo dovrebbe comprendere un audit approfondito dei contenuti di terze parti. Il processo è complicato dalle terze parti che si collegano ad altri siti Web con una tendenza comune a controlli di sicurezza scadenti.
Effettuare scansioni costanti delle vulnerabilità – I CISO riconoscono come sia sempre più importante eseguire scansioni esterne per acquisire una visione globale della situazione dalla prospettiva dell’hacker. Aspetto che diviene ancora più importante nei processi di acquisto, quando un’enorme quantità di contenuto viene aggiunta sul lato client all’ultimo minuto;
Monitorare le modifiche del codice – Non importa dove è ospitato il codice, è necessario avere le informazioni, indipendentemente dal fatto che emergano nuove vulnerabilità. Tutto questo significa monitorare i bucket GitHub e AWS S3, nonché i repository di codice nativo;
Implementare il web filtering – per impedire agli utenti di visitare inavvertitamente siti di phishing. Quando un utente clicca un collegamento, la soluzione blocca il traffico in uscita;
Ispezionare il traffico crittografato – Il traffico proveniente da malware che comunica con i server command and control su tunnel crittografati non è rilevabile durante il transito senza adottare una tipologia di gateway di decrittografia. È fondamentale decodificare il traffico interno prima di inviarlo ai tool di rilevamento degli incidenti per identificare eventuali infezioni;
Migliorare i meccanismi di segnalazione – Le risposte agli incidenti dovrebbero includere un metodo semplificato e non accusatorio che permetta agli utenti di contrassegnare il sospetto phishing