Le principali minacce alla sicurezza dei siti e-commerce del 2021 e come affrontarle

Le principali minacce alla sicurezza dei siti e-commerce del 2021 e come affrontarle

Pubblicato in Protagonisti 04 Febbraio 2021

Il tema della sicurezza on line non dovrebbe mai essere preso alla leggera e men che meno quando si tratta di siti e-commerce.  

Soprattutto alla luce dei grandi furti di dati e Data Breach avvenuti in passato (anche molto recente) che hanno danneggiato in modo evidente i livelli di fiducia in tema di sicurezza digitale di molti consumatori. Il tema della reputazione è cruciale quando si parla di transazioni on line. Una volta che si sa che non ci si può fidare di un'azienda, nessuno vorrà più comprare prodotti di quel marchio o completare acquisti su quel sito.  

Ma quali sono le principali minacce che interessano i siti e-commerce; e quali soluzioni si possono adottare per far fronte ai problemi?

Minaccia 1: Frodi durante le transazioni

Ogni secondo che passa, enormi quantità di denaro passano (virtualmente) di mano in mano e, per quanto possa essere rassicurante pensare che la tecnologia abbia reso sicure al 100% le nostre transazioni digitali, purtroppo non è così.
Infatti, sono ancora presenti due fondamentali tipi di frodi transazionali, ovvero che avvengono durante i pagamenti.

• La prima vede protagonista le carte di credito rubate (o clonate), i cui dati vengono utilizzati per effettuare pagamenti non autorizzati. I prodotti acquistati tramite queste transazioni vengono quindi trattenuti o rivenduti, anche se i pagamenti vengono annullati.

• La seconda è costituita da transazioni su sistemi non sicuri, che vengono interrotte o reindirizzate.

Per quanto la prima tipologia di frode possa sembrare di difficile applicazione, risulta ancora piuttosto efficace.
Il motivo è semplice: anche i più diligenti tra noi si dimenticano di controllare costantemente gli estratti conto on line. Basta un momento di disattenzione per far sì che un criminale informatico effettui numerosi pagamenti.

Anche se, oggi, la maggior parte di noi è consapevole dell'importanza degli indicatori di sicurezza dei siti web, come la sigla HTTPS, tali indicatori possono spesso essere falsificati in modo abbastanza convincente da ingannare la maggior parte delle persone.
Questo tipo di falsificazione, chiamata in gergo HTML spoofing, può ingannare anche gli occhi dei più esperti.

Soluzione: Conformità al protocollo PCI DSS

Lo standard PCI DSS è stato creato per aumentare drasticamente i livelli di sicurezza dei pagamenti on line. Qualsiasi azienda di e-commerce che voglia proteggere le proprie transazioni (e rafforzare la propria credibilità) dovrebbe far di tutto per rispettarne i requisiti.

Il tasso di conformità fra i siti e-commerce allo standard PCI DSS non è ancora così alto dovrebbe essere. Una situazione difficile da spiegare, se non con una mancanza di informazione o carenza di budget. L’implementazione di tale protocollo non dovrebbe essere un problema per il singolo rivenditore poiché, in sostanza, offre un vantaggio competitivo rispetto alla concorrenza.

Minaccia 2: Attacchi diretti al sito

Mentre il phishing è un approccio passivo, i siti di e-commerce possono talvolta essere sottoposti ad attacchi diretti sotto forma di campagne DDoS (acronimo di Distrubuted Denial Of Service). Chi vuole mettere sotto assedio un negozio virtuale, programmerà molti dispositivi per tentare di utilizzare a ripetizione il sito del negozio. Questo attacco orchestrato travolgerà l'hosting del negozio e impedirà al sito di caricarsi per la maggior parte dei visitatori “normali”.

L’obiettivo è tenere il sito occupato, in modo tale da non permettergli di concentrarsi sulle visite di persone davvero intenzionate ad acquistare. Questo tipo di attacco può anche bruciare la banda di hosting di dati allocata al sito, causando altri problemi costosi per le imprese. Queste campagne sono relativamente rare, ma non tanto da non costituire una minaccia. Qual è l'obiettivo finale di un attacco DDoS? Dipende dalla situazione. A volte sarà quello di disturbare il negozio e danneggiare la sua reputazione. Nei casi più frequenti, un attacco DDoS sarà abbinato a una richiesta di riscatto: pagando una certa somma, l'attacco sarà interrotto.

Soluzione: Protezione attiva

Un e-store può essere attaccato in qualsiasi momento da un DDoS: questa minaccia richiede misure più incisive, ovvero un servizio di protezione da DoS. Il concetto è abbastanza semplice: il traffico in entrata viene monitorato e analizzato. Quando le visite sono considerate di natura fraudolenta, vengono bloccate. Questo sistema di difesa impedisce all'attacco DDoS di rallentare il sito fino a comprometterne significativamente le prestazioni.

Minaccia 3: Attacco alle password

La strategia di attacco alle password è fonte di frustrazione per i consulenti di sicurezza IT fin dagli albori di internet. Il motivo è semplice: trovare l’equilibrio fra protezione e praticità d’uso non è mai semplice. Se si scelgono password lunghe e complesse, si corre il rischio di dimenticarle e perdere ogni accesso al proprio account. L’utilizzo di password facili da ricordare lascia i sistemi altamente vulnerabili e aperti agli attacchi. 

Ci sono due metodi principali per questo tipo di attacco. Il primo sfrutta la “forza bruta”, attraverso un programma che prova migliaia e migliaia di password nella speranza di riuscire a trovare quella corretta. Il secondo, quello che si può ragionevolmente chiamare "informed guessing" (ovvero provare a indovinare con dati oggettivi): in questo caso vengono usati pezzi di formazioni provenienti dalla vita di un utente, spesso ricavati dai social media, al fine di identificare le parole che più probabilmente compaiono nelle sue password.

Soluzione: Password forti e autenticazione a più fattori

Come fanno i venditori di e-commerce ad affrontare la minaccia delle password “fragili” sia per i loro sistemi interni che per i loro clienti? Ci sono due strategie che possono implementare. In primo luogo, dovrebbero utilizzare e richiedere password complesse. In secondo, dovrebbero valutare se implementare un sistema di autenticazione a due fattori.

Questi sono i principali rischi che corre un sito e-commerce e le soluzioni più semplici per ridurre il rischio ad essi collegato.
L’informazione è il primo ingrediente per un mondo e-commerce sempre più sicuro.
Non abbassiamo la guardia!

Pierguido Iezzi  
Swascan Cyber Security Strategy Director 
(www.swascan.com/it/