La frenesia dello shopping è in pieno fervore. Fra Black Friday e Cyber Monday gli utenti hanno occhi solo per le offerte, le aziende potrebbero non essere le uniche a guadagnarci. Acquisti, promozioni e vendite frenetiche possono garantire un ricco bottino ai criminali informatici più intraprendenti.

Gli esperti di sicurezza di F5 Labs stimano che saranno molti i consumatori e i retailer ad essere colpiti. Nel secondo caso il rischio non è solo la perdita di guadagno, ma anche di credibilità. Le due minacce maggiori in agguato  sono DoS e formjacking.

DoS (Denial of service) identifica attacchi che bloccano le prime offerte dei rivenditori impedendo loro di sfruttare le opportunità di guadagno. Il formjacking è una delle tattiche di attacco online più utilizzate. Effettua una scansione degli ATM virtuali degli istituti di credito accessibili on-line. È un componente critico dell'acquisto online, ed è un obiettivo molto interessante. Il codice di accesso può essere fornito a partire da una vasta gamma di sorgenti, che esulano dai controlli tradizionali della sicurezza aziendale. Inoltre, dato che molti siti Web utilizzano le stesse risorse di terze parti, agli aggressori basta compromettere un singolo componente. Si accede così a un immenso pool di potenziali vittime.
Onnipresenti le campagne di ransomware, che puntano all’estorsione. E quelle di phishing. Le vittime designate in questi casi sono gli acquirenti. Come evitare di cadere nei tranelli? Paolo Arcagni, Senior Manager System Engineering di F5 Networks, ha diffuso alcuni consigli per consumatori e retailer.

Per gli utenti, il primo consiglio è di non fare mai acquisti utilizzando direttamente i motori di ricerca. Meglio digitare manualmente gli indirizzi dei siti web affidabili. Una volta collegati, controllare sempre che non ci siano evidenti errori di grammatica o di formattazione. Sono tipici delle pagine false.

Finalizzare gli acquisti solo su siti che utilizzano la crittografia. Hanno il prefisso "https" e il simbolo di un lucchetto. Occhio ai brand più conosciuti: sono proprio quelli ai quali ci si affida senza controllare, e sono anche i più imitati dai cyber criminali.

Attenzione alle email: anche se sono ben scritte e convincenti, diffidate di quelle che richiedono informazioni personali o finanziarie. Un sito di e-commerce notifica di avere ricevuto o spedito un ordine. Non chiede mai i dati finanziari o personali via email. Nel dubbio, accedete di nuovo al sito per verificare che l'ordine sia andato a buon fine.

Ultimo e importantissimo: se un sito web vi rindirizza verso una terza parte per il pagamento, non cadete in trappola. Contattate il rivenditore e chiarite il meccanismo per il pagamento prima di procedere.
Paolo Arcagni, Senior Manager System Engineering di F5 NetworksCome accennato, anche i venditori sono fra le potenziali vittime. Per loro il rischio è duplice perché possono essere vittime di mancati guadagni, ma hanno anche il dovere di tutelare i propri clienti. La prima cosa da fare è dotarsi di un toolkit antifrode e adottare strumenti di verifica, come ad esempio l'autenticazione a più fattori.

È consigliata anche l'implementazione di una soluzione di crittografia a livello dell’applicazione. Livelli più elevati di visibilità e controllo a livello dell’applicazione consentono di mitigare i rischi legati ad attacchi di injection distribuiti e polimorfi. Il traffico crittografato dev'essere comunque ispezionato.

Per tutelare i clienti, è consigliato l'uso di token e crittografia in-app. Proteggono i dati personali e finanziari durante tutto il processo di check-out. Meglio anche creare un inventario delle applicazioni Web con un occhio di riguardo ai contenuti di terze parti. Spesso si collegano ad altri siti Web con una tendenza comune a controlli di sicurezza scadenti.

La scansione delle vulnerabilità dev'essere costante, soprattutto nei processi di acquisto. I responsabili delle infrastrutture devono anche monitorare qualsiasi modifica del codice, a prescindere da dove sia ospitato. Imperativo fare uso di web filtering, per impedire agli utenti di visitare inavvertitamente siti di phishing. In ultimo, è necessario migliorare i meccanismi di segnalazione di eventuali problemi.