Mentre le porte virtuali dell’e-commerce si aprono per un fine settimana all’insegna di offerte e sconti del Black Friday e del Cyber Monday, il mercato online offre innumerevoli spunti per attacchi di phishing, truffe via e-mail, siti web dannosi e altro ancora. Anche gli acquirenti più attenti risultano essere più vulnerabili in questo periodo dell’anno, poiché è un momento propizio per frodi con carta di credito e il furto delle identità, contribuendo ad aggiungere ulteriori livelli di rischio.
Per le aziende di siti di e-commerce, queste festività impongono ai team di sicurezza di innalzare il loro livello di vigilanza nel tentativo di contrastare i truffatori e proteggere sia l’azienda che i clienti.
Questo articolo approfondisce le minacce più comuni che emergono durante la corsa agli acquisti e fornisce suggerimenti utili per aiutare sia gli acquirenti che le aziende a garantire un’esperienza online sicura.
Minacce legate alle festività nel settore dell’e-commerce
In vista del Black Friday e delle festività natalizie, le autorità stanno già mettendo in guardia i fanatici dello shopping sui rischi che derivano dallo shopping online.
Il National Cyber Security Centre (NCSC), organo dell’agenzia di intelligence del Regno Unito, ha avvertito che i criminali informatici quest’anno potrebbero sfruttare la tecnologia AI per creare contenuti ingannevoli più convincenti, pubblicità dannose e siti web contraffatti.
L’FBI ha pubblicato un avviso di sicurezza che esorta le aziende a rimanere vigili contro il picco di campagne ransomware che si verificano durante le vacanze, quando gli uffici sono chiusi o operano con team ridotti. Gli autori delle minacce continuano a sfruttare le festività per condurre attacchi di grande impatto.
In Italia il Codacons evidenzia che il Black Friday produrrà un giro d’affari che quest’anno ruoterà intorno ai 4 miliardi di euro (+15% su 2022) e che almeno 4 italiani su 10 approfitteranno del periodo di offerte e promozioni per anticipare i regali di Natale. Il Codacons mette quindi in guardia i consumatori da possibili truffe durante il Black Friday, e suggerisce di prestare maggiore attenzione quando si compra sui siti web.
Ecco le tattiche di minacce più comunemente utilizzate con suggerimenti su come proteggersi.
Truffe via e-mail e social engineering
Le truffe di phishing via e-mail sono una minaccia prevalente, che coinvolge messaggi ingannevoli che appaiono come offerte promozionali legittime o notifiche urgenti, e potrebbero trovare terreno fertile durante il Black Friday. Questi sono progettati per indurre i destinatari a rivelare informazioni sensibili o indurli a scaricare malware. Il social engineering gioca un ruolo fondamentale, manipolando gli acquirenti per divulgare dettagli personali o fare clic su link dannosi.
Le truffe via e-mail spesso partono da truffatori che spingono le vittime ad acquistare gift card con il trucco di risolvere problemi, scappando successivamente con i fondi. Anche le false conferme d’ordine sono comuni durante le festività natalizie, spesso includendo loghi e grafica convincenti per indurre gli acquirenti a fare clic su link dannosi pensando di contattare l’assistenza clienti per contestare l’acquisto inesistente.
Come proteggersi
La vigilanza e una buona igiene informatica sono i prerequisiti, sopratutto in vista di occasione come quelle del Black Friday:
· Operare con cautela – verificare le e-mail e i messaggi in arrivo ed evitare di fare clic su collegamenti sospetti. Controllare che l’indirizzo e-mail del mittente sia corretto, cercare il marchio ufficiale e fare attenzione al tono del messaggio.
· Non affrettarsi a rispondere – ai truffatori piace inviare false conferme per beni o servizi costosi o affermare che al destinatario è stato o verrà addebitato qualcosa che non ha mai ordinato. Lo stratagemma è quello di infondere un senso di urgenza e incoraggiare la vittima designata a fare clic su un collegamento dannoso. Per qualsiasi comunicazione inaspettata che implichi la scadenza o l’imminente pagamento di una qualche forma, verificare la legittimità attraverso i canali ufficiali.
· Diffidare delle truffe con gift card – Quando vi trovate di fronte a richieste di acquisto di gift card, controllare la richiesta tramite una fonte attendibile.
· Informare e rimanere informati – La conoscenza è potere e, in un mondo connesso, siamo tutti parte della soluzione. Tenersi aggiornati con i blog e gli account dei social media delle autorità nazionali e locali, che spesso pubblicano avvisi, e condividetele con gli altri.
· Segnalare attività sospette – Se pensate di essere caduti vittima di una truffa, è importante segnalarlo alle autorità e alle organizzazioni competenti, come il datore di lavoro o la banca, e agire rapidamente. Reimpostare le password se necessario e abilitare l’autenticazione a più fattori (MFA).
Siti web contraffatti, malvertising ed e-skimming
I maggiori sconti della Cyber Week (Black Friday e Cyber Monday) creano un’area privilegiata per gli attori delle minacce che impiegano tecniche sofisticate come siti web contraffatti, malvertising ed e-skimming per avvicinare gli acquirenti.
I siti web contraffatti imitano i rivenditori online legittimi, portando gli utenti a condividere inconsapevolmente informazioni personali e finanziarie. Il malvertising si infiltra nelle reti pubblicitarie legittime, inserendo annunci dannosi su siti web apparentemente affidabili e compromettendo il dispositivo dell’utente al momento dell’interazione. L’e-skimming prevede l’inserimento di codice maligno nei moduli di pagamento online, consentendo ai criminali di rubare dati di pagamento sensibili durante le transazioni.
Come proteggersi anche durante il Black Friday
· Ricontrollare gli URL dei siti web – l’indirizzo del sito web sembra corretto? Verificare la legittimità, assicurandosi che gli indirizzi web corrispondano al dominio ufficiale del rivenditore.
· Assicurarsi che un fornitore disponga di metodi di pagamento sicuri: non inserire informazioni personali o finanziarie in moduli web che non sono chiaramente sicuri. Verificare che l’URL del sito sia preceduto da “HTTPS” e cercare sigilli di fiducia, inclusi quelli dei fornitori di certificati SSL e dei processi di pagamento. Inoltre, i venditori online affidabili offrono una varietà di opzioni di pagamento sicure. Cercare metodi di pagamento affidabili come carte di credito, PayPal o altri operatori noti.
· Considerare attentamente le opzioni di pagamento: usare carte di credito o di debito prepagate per acquistare articoli. Evitare di pagare con bonifico in quanto il denaro inviato è irrecuperabile.
· Bloccare lo spam – Installare blocchi affidabili per bloccare gli annunci potenzialmente dannosi.
Frode con carta di credito e identità
Gli autori delle minacce approfittano del trambusto del periodo delle vacanze per rubare i dati delle carte di credito e le identità digitali. Il malware Magecart, ad esempio, è uno script dannoso che si infiltra e compromette i siti web di e-commerce per raccogliere dati sensibili, principalmente dettagli della carta di credito e altri dati personali.
Il malware intercetta e cattura l’input dell’utente, come i dati della carta di credito inseriti durante le transazioni online, all’insaputa del proprietario del sito web o degli ignari utenti.
Come proteggersi: consigli in vista del Black Friday e del Cyber Monday
· Utilizzare metodi di pagamento sicuri e affidabili – carte di credito prepagate, buoni regalo o buoni regalo, PayPal, Apple Pay, Google Pay o Amazon Pay riducono la necessità di condividere direttamente i dettagli bancari quando si effettuano acquisti online.
· Usare le app dei rivenditori dove disponibili – Molti rivenditori affidabili hanno le proprie app che consentono agli utenti di fare acquisti e pagare direttamente tramite l’app mobile.
· Monitorare regolarmente gli estratti dei conti bancari – Restare attenti alle transazioni sospette e impostare avvisi di transazione che possono aiutare a rilevare precocemente attività non autorizzate.
· Cautela nel condividere informazioni personali – fornire informazioni personali solo a fonti attendibili.
· Adottare password complesse e univoche – non riutilizzare mai le password e utilizzare un gestore di password per testare la sicurezza della password. Assicurarsi che le password non siano semplici variazioni di frasi comuni.
· Sviluppare la consapevolezza situazionale – Astenersi dall’utilizzare il Wi-Fi pubblico per le transazioni finanziarie o digitare password sensibili in luoghi pubblici, come caffè, bar e ristoranti che potrebbero essere trascurati dalle telecamere a circuito chiuso.
Proteggere gli acquirenti online e cosa possono fare gli esercenti
I rivenditori di e-commerce cercheranno di rafforzare i siti web e migliorare la loro postura di sicurezza informatica e garantire la sicurezza dei loro acquirenti online, soprattutto in vista di occasioni come il Black Friday. Sebbene le misure di sicurezza siano un’attività che dura tutto l’anno, i team di sicurezza possono aumentare i controlli, come:
· Garantire la sicurezza dei dati – protocolli di crittografia robusti, come Transport Layer Security (TLS), Perfect Forward Secrecy (PFS) o HTTP Strict Transport Security (HSTS), aiutano a proteggere i dati trasmessi tra gli utenti e il sito Web.
· Esaminare e rispondere: gli attori delle minacce cambiano tattica frequentemente e rapidamente e i nuovi bug del software vengono sfruttati rapidamente. Controlli di sicurezza regolari e valutazioni delle vulnerabilità possono identificare e correggere potenziali punti deboli nell’infrastruttura del sito Web, bloccando potenziali punti di ingresso per gli aggressori informatici.
· Sfruttare le difese moderne – le aziende di e-commerce dovrebbero investire in firewall avanzati, sistemi di rilevamento delle intrusioni (IDS) e soluzioni di monitoraggio per rilevare e prevenire accessi non autorizzati o attività dannose.
· “Applicare patch in anticipo, patch spesso” è ancora un buon consiglio – mantenere aggiornati software, plug-in e integrazioni di terze parti è fondamentale per ridurre al minimo il rischio di sfruttamento da parte delle minacce informatiche.
· Sviluppare una cultura della consapevolezza – la formazione regolare dei dipendenti sulle migliori procedure di sicurezza, compreso il riconoscimento e l’evitare i tentativi di phishing, è essenziale.
· Controllare i fornitori – monitorare attentamente i fornitori di terze parti, assicurandosi che aderiscano a rigorosi standard di sicurezza e siano pronti anche per le festività natalizie.
· Preparazione – in vista dei saldi, i test di carico e il monitoraggio delle prestazioni sono essenziali per garantire che il sito web riesca a gestire un aumento del traffico senza compromettere la sicurezza.
Conclusioni
Dalle truffe via e-mail ai siti web contraffatti e al malvertising, il mondo dell’e-commerce è pieno di potenziali minacce, soprattutto durante le festività. L’impennata delle attività online, soprattutto durante la Cyber Week (Black Friday e Cyber Monday), attira non solo gli acquirenti desiderosi, ma anche gli attori opportunisti delle minacce informatiche che mirano a sfruttare il picco di traffico.
Per le aziende, rafforzare la sicurezza degli endpoint comporta l’implementazione di soluzioni avanzate di rilevamento e monitoraggio, l’aggiornamento regolare del software e l’applicazione di rigorosi controlli di accesso. La protezione dei dati sensibili richiede misure complete di sicurezza dell’identità, tra cui l’autenticazione a più fattori e l’analisi del comportamento degli utenti.
Anche gli acquirenti svolgono un ruolo fondamentale nella propria sicurezza online. L’utilizzo di dispositivi sicuri e aggiornati, la diffidenza sui tentativi di phishing e la garanzia di connessioni sicure durante le transazioni sono essenziali per il prossimo fine settimana lungo. L’adozione di password complesse e univoche per ogni account online e l’abilitazione dell’autenticazione a più fattori aggiunge un ulteriore livello di difesa contro l’accesso non autorizzato. Il monitoraggio regolare degli estratti conto bancari per transazioni sospette è un passo proattivo che può aiutare a rilevare e mitigare potenziali frodi.
A cura di Paolo Cecchi, Regional Sales Director Mediterranean Region at SentinelOne
