Pmi ed e-commerce, cyber risk in aumento

La migrazione massiccia online causata dall’epidemia di coronavirus ha sicuramente favorito l’espansione di tutti i settori nel mondo dell’e-commerce, in particolare quelle piccole e medie aziende che si sono trovate tagliate fuori dai tradizionali canali di vendita. Di questo cambio di paradigma, sfortunatamente però si sono accorti anche i criminal hacker, che non aspettato troppo a intensificare le loro campagne di attacco contro gli e-commerce.

Il pericolo Skimmer

Nell’ultimissimo periodo infatti, Magecart, un noto gruppo di criminal hacker ha intensificato la sua attività. Magecart è proprio specializzato nel prendere di mira gli E-commerce, in particolare il sistema Magento, per rubare i dati delle carte di credito dei clienti.

Negli ultimi giorni, il gruppo ha svelato la sua ultima arma: una nuova versione del suo skimmer che raccoglie attivamente i dati delle carte di credito da diversi siti web, in particolare quelli appartenenti alle Pmi.

Gli skimmer vengono iniettati dai criminal hacker in siti web mirati e sono progettati per rubare i dati inseriti nei moduli di pagamento online sui siti web di e-commerce. Quando un visitatore si reca su quel sito web, gli skimmer raccolgono automaticamente i dati personali inseriti dalla vittima nei vari form. Gli attacchi di Magecart possono essere difficili da individuare in quanto lo script che colpisce il sito risiede sul lato rivolto al cliente, in attesa di scremare qualsiasi informazione personale quando un cliente è al checkout. Troppo difficile in molti casi accorgersi da soli che, una volta che un sito web è infetto, le informazioni della carta di credito vengono raccolte senza che il commerciante o il consumatore si renda conto della loro compromissione. Una volta ottenute le credenziali, solitamente i criminal hacker utilizzano le carte in tre modalità ben distinte a seconda di scopi ed esigenze.

Uno dei metodi più comuni – data la sua minore rilevabilità – è quello di utilizzare le carte per fare dei piccoli pagamenti ricorrenti (nell’ordine di 40-50 euro mensili) che la vittima potrebbe ignorare anche per svariati mesi. Come se non bastasse, attingendo alle informazioni bancarie dei propri target i criminal hacker riescono spesso a mascherare queste transazioni come fatture legittime basate sugli acquisti che la vittima fa regolarmente durante il mese o bimestre. A questo tipo di pagamenti si aggiunge l’evergreen delle criptovalute che permettono ai cyber criminali di convertire immediatamente il denaro sottratto in valuta non ritracciabile o in Gift Card – sempre più popolari tra i criminal hacker – che vengono spesso rivendute attraverso siti appositi.

Come difendersi

Per scongiurare la minaccia, fortunatamente, esistono una serie di soluzioni tecniche e best practice indispensabili. Monitoraggio del sito web in tempo reale: Monitorando tutte le richieste di rete che entrano nel sito web o ne escono, può essere la chiave per individuare potenziali minacce; Web app scan: il servizio automatizzato di Web Vulnerability Scan. Questo permette di identificare le vulnerabilità e criticità di sicurezza di siti web e delle Web Application; vulnerabilità come SQL Injection e Cross-Site Scripting, le più utilizzate dai criminal hacker.

Il rischio phishing

Ma non è solo lo skimming a mettere a rischi le piattaforme. Il phishing, se è possibile, ha subito un aumento ancora più imponente. Che siano alla ricerca di denaro, informazioni, o dati sui pagamenti dei clienti, i phisher sono un problema serio. Sanno come far sembrare convincenti le richieste urgenti, sanno che le persone non inviano le credenziali di accesso via e-mail e di conseguenza hanno intensificato e perfezionato l’uso di siti di phishing ad hoc che sembrano legittimi, ma che sono in grado di sottrarre le credenziali di accesso. Tutto ora amplificato all’ennesima potenza dalla leva del coronvirus.

Quindi, un’altra misura fortemente consigliata è quella di intervenire sul fattore umano: questo significa affrontare un adeguato processo di formazione dei propri dipendenti. Per far fronte a queste necessità, fortunatamente, esistono servizi come il Phishing Attack Simulation. Questo permette alle aziende di essere al riparo in caso di attacchi di phishing attraverso delle vere e proprie simulazioni di attacco. È infatti possibile, attraverso un’interfaccia web inviare vere e proprie campagne di phishing simulate che generano delle insostituibili occasioni di apprendimento per i dipendenti. Questi, infatti, grazie agli attacchi simulati che emulano una possibile campagna phishing, riusciranno in futuro ad individuare una vera e-mail di phishing e ad evitarla.

Il servizio permette di:

• ridurre sensibilmente il rischio di subire in futuro un qualsiasi attacco di phishing;
  
  
• avere dei collaboratori informati e sempre vigili oltre che sensibili alla materia;
  
  
• diminuire i costi futuri di formazione del personale in materia di sicurezza.