Cosa rischia il tuo e-commerce se viene preso di mira dagli hacker?

Il periodo delle feste natalizie è sicuramente un toccasana per tutti coloro i quali possiedono un negozio e-commerce, ma la conseguenza spiacevole di questo incremento esponenziale di traffico è la proporzionale crescita delle opportunità per i criminal hacker di attaccare sia i venditori sia gli utenti.

La sicurezza informatica del proprio negozio virtuale – in particolar modo in questo periodo – dovrebbe essere di massima importanza, ignorare questo aspetto potrebbe avere conseguenze catastrofiche. 

Ma cosa rende così appetibili i siti e-commerce per i criminal hacker? Semplice, sono incredibilmente più lucrativi rispetto a un qualsiasi altro tipo di sito. Prima di tutto perché sono concepiti – e lo dice il nome stesso – per finalità di commercio. Ciò significa che su queste piattaforme transitano una mole di dati sensibili considerevole (si pensi solo alle carte di credito o agli account PayPal). Come se non bastasse, grazie all’enorme quantità di interazioni che – anche in periodi non di punta come questi – quotidianamente vengono registrate su questi siti, il traffico di utenti si trasforma in una preda ideale per essere colpito con contenuti “malicious”, redirect verso siti truffa, phishing e in alcuni casi anche malware. Non stiamo, quindi, parlando dei classici attacchi "targhettizzati" (si vedano i grandi casi che hanno coinvolto compagnie come Marie Tecnimont) che prendono di mira le multinazionali o comunque i colossi dell’industria. Statisticamente questo tipo ti campagne contro un singolo bersaglio sono raramente portate avanti contro piccoli esercenti, perché i criminal hacker agiscono su una semplice equazione di risk/reward o se pagati per un particolare lavoro… di certo il piccolo E-commerce non è la loro prerogativa. 

Agiscono, invece, quando viene rintracciata una vulnerabilità comune a più piattaforme, dando origine a fenomeni di hacking "di massa" dove a essere colpiti sono più siti contemporaneamente.

Le conseguenze di un attacco contro un e-commerce

Uno dei principali punti d’attenzione per le aziende con una presenza online, soprattutto quelle che svolgono vendita al dettaglio attraverso un e-commerce, è la brand reputation. La fiducia del cliente è la base per il successo di qualsiasi e-shop. Se dovesse comparire un banner pubblicitario che sponsorizza prodotti “per adulti” proprio all’interno del tuo sito nel migliore dei casi il compratore in prospettiva sarebbe altamente insospettito, così come se l’antivirus del cliente cominciasse a segnalare qualche anomalia nella tua pagina. 

Un’altra conseguenza negativa derivante da un attacco criminal hacker è il rischio concreto che il tuo sito venga messo in blacklist. Se Google o un qualsiasi antivirus inseriscono il tuo e-commerce in questa “lista nera” perderai immediatamente tutto il traffico in entrata. Non è neppure così semplice risolvere il quid pro quo, solitamente il processo di rimozione da tutti i database dove il tuo sito è considerato come “nocivo” richiede più di qualche giorno, mentre tu perderai giro d’affari rimanendo di fatto invisibile.

Come proteggersi efficacemente

A prescindere da quanto credi che sia sicuro il tuo sito è fortemente consigliato monitorare periodicamente il tuo e-commerce attraverso attività di web app scan, il servizio automatizzato di Web Vulnerability Scan. Questo permette di identificare le vulnerabilità e criticità di sicurezza di siti web e delle Web Application; vulnerabilità come SQL Injection e Cross-Site Scripting, le più utilizzate dai criminal hacker.

Un’altra misura fortemente consigliata è quella di intervenire sul fattore umano: questo significa affrontare un adeguato processo di formazione dei propri dipendenti. Una delle aree di maggior criticità in questo caso è quella legata al phishing, le email – confezionate ad hoc dai Criminal Hacker – contenenti link o allegati malevoli in grado di infettare i sistemi bersaglio con malware o di sottrarre credenziali.

Unitamente alla formazione ci sono alcune best practice da rispettare rigorosamente:

• Aggiorna sempre i tuoi software (e questo include CMS e Plugin) all’ultima versione disponibile, molto spesso gli sviluppatori aggiornano le loro soluzioni per risolvere possibili vulnerabilità. Non scaricare regolarmente gli update significa esporre il tuo sito a considerevoli rischi di exploit;
• Immagazzina solo i dati essenziali; non c’è alcuna necessità di mantenere lo storico degli ordini o i dati dei tuoi clienti permanentemente in cloud, limitati alle sole informazioni necessarie per i rimborsi o gli storni. Più informazioni saranno disponibili sul tuo sito più facile sarà finire nel mirino di Criminal Hacker;
• Quando scegli il tuo provider per creare il tuo sito e-commerce fai attenzione che sia in grado di fornirti i certificati SLL e che sia PCI compliant. 

Piccoli accorgimenti, ma che potrebbero significare la differenza tra il successo in questo periodo cruciale o il tracollo degli affari.