Gli e-commerce per loro conformazione sono considerati un bersaglio vulnerabile per gli attacchi informatici. Sempre più hacker considerano l’opzione di scagliarsi contro gli shop online per ottenere i tanto ambiti dati personali e di pagamento. Per prevenire danni finanziari e alla figura del brand, un numero sempre maggiore di aziende sta puntando sul rafforzamento della cyber security. Secondo una ricerca svolta da Vmware Carbon Black, nel 2020 il 77% delle aziende ha investito in nuovi sistemi di sicurezza ed il 69% si è rivolto a personale specializzato nel campo. In questo panorama in continuo movimento, in cui i venditori cercano di arginare e prevedere le innovative e sempre più mirate strategie degli attacchi, conoscere i migliori strumenti per difendersi e essere a conoscenza di tutte le tipologie di attacchi è evidentemente opportuno. Avendo già affrontato alcune tecniche per la prevenzione e la sicurezza del sito, stavolta è arrivato il momento di analizzare le tipologie di cyber-attack da cui difendersi.
Le più grandi minacce per un e-commerce
I tipi e metodi di attacco informatico sono ampi e vari, e sarebbe quasi impossibile approfondirli bene tutti in un unico post. Ce ne sono alcuni però che meritano maggiore attenzione ,essendo più utilizzati, e che è necessario conoscere se si vuole apportare uno standard di sicurezza elevato al sito.
- Phishing
Quella presa in analisi è una particolare tipologia di truffa realizzata attraverso l’inganno dei clienti principalmente attraverso posta elettronica. Nel messaggio viene richiesto di fornire informazioni private come password, numeri di conto, numeri di previdenza sociale, e altro ancora per problemi di registrazione o di ripristino. Ad ingannare è la somiglianza del layout delle mail con quelle di istituti finanziari o grandi brand online. Solitamente nel messaggio, per rassicurare ingannevolmente l’utente, è indicato un anche un link che rimanda solo apparentemente al sito web a cui si è registrati. In realtà si viene collegati ad una pagina praticamente identica a quella originale, adeguatamente progettata dai truffatori. Qualora l’utente inserisca i propri dati riservati, questi saranno subito nella disponibilità dei criminali. In questi casi è importante verificare l’autenticità del sito tramite l’HTTPS nella URL oppure installando un antivirus che blocca le pagine considerate poco affidabili.
- Malware e ransomware
Quando un dispositivo o la rete vengono infettati da malware o ransomware risulterà impossibile accedere ai propri dati e alle applicazioni. Vanno intesi come programmi che possono rubare di nascosto informazioni di vario tipo oppure arrecare danni sabotando un sistema, per poi chiedere un riscatto per decriptarlo e restituirlo. Prevedere backup regolari dei dati del sito può aiutare a mantenerli sicuri da un colpo devastante che potrebbe arrivare per le casse del proprio negozio. Prima di cliccare link sospetti o di scaricare programmi sconosciuti è consigliato fare molta attenzione, i malware si nascondono proprio in file non malevoli.
- SQL injection
Se si utilizza un database per immagazzinare i dati presenti sull’e-commerce è necessario memorizzarli ed immagazzinarli in modo sicuro per non andare incontro a questo tipo di attacco. Il mancato controllo della query dell’utente permette di inserire artificiosamente delle stringhe di codice SQL che saranno eseguite dall’applicazione server: grazie a questo meccanismo è possibile far eseguire comandi SQL che portano all’ alterazione dei dati ( annullamento di transazioni, alterazione dei bilanci, ecc.) oppure permettono il download completo dei contenuti nel database. Per evitare che ciò accada è necessario prendere le giuste precauzioni e affidarsi a sistemi pensati per proteggere i database
- Cross-site scripting (XSS)
XSS è dovuto all’inserimento di un pezzo di codice dannoso (tipicamente Javascript) in una pagina web. I siti web dinamici sono le prede preferite da questo tipo di attacco informatico. A differenza di alcuni altri tipi di attacchi, questo non ha un impatto sul sito stesso, ma avrebbe un impatto negativo sugli utenti di quella pagina, vale a dire gli acquirenti, esponendoli a malware, tentativi di phishing, e altro ancora.
- E-skimming.
L’E-skimming si riferisce ad un metodo di furto delle informazioni della carta di credito e dei dati personali che avviene sulle pagine di checkout degli e-commerce. È spesso collegato ad una delle tipologie di attacchi di cui abbiamo già parlato: tramite un tentativo di phishing di successo, attacco malware o XSS l’hacker ottiene l’accesso al server e copia in tempo reale le informazioni di pagamento che gli utenti inseriscono per completare gli acquisti.