Negli Stati Uniti per il Giorno del ringraziamento (il quarto giovedì di novembre) è consuetudine da parte delle aziende dare un giorno di vacanza in più, il venerdì, da aggiungere al fine settimana. I negozi approfittano del ponte per fare affari, mettendo i prodotti in vendita a prezzi super scontati. Questa giornata, come sappiamo, è stata soprannominata “Black Friday” e segna l’avvio dello shopping natalizio. Tale tradizione si sta ormai diffondendo un po’ ovunque nel mondo, e anche in Italia sta prendendo piede, soprattutto per quanto riguarda la vendita di beni di consumo tecnologici.
Tuttavia esiste una seconda giornata dedicata alle grandi occasioni su smartphone, tablet, e computer: il “Cyber Monday” o lunedì cibernetico, pensato per coloro che non hanno potuto partecipare al Black Friday. Questa giornata di promozioni si svolge interamente online. Secondo un sondaggio di American Express, quest’anno si prevede che negli Stati Uniti i consumatori spenderanno di più durante il Cyber Monday che durante il Black Friday, tendenza che potrebbe verificarsi anche in Europa. La comodità di scegliere i prodotti online, senza il fastidio di doversi recare nel negozio e litigare con altri clienti per accaparrarsi le migliori offerte, è indubbia. Per discutere di questo fenomeno sempre più diffuso, abbiamo un’ospite speciale: si tratta di Angel Grant, esperta di sicurezza informatica di RSA che ci parlerà dei rischi che gli utenti possono correre nel fare acquisti in questo particolare periodo dell’anno. Ricordiamo che il Natale è alle porte e che queste informazioni ci saranno utili per tutto il periodo natalizio e forse anche oltre. L’eventualità di cadere in una truffa è sempre dietro l’angolo.
Angel, il Cyber Monday sta assumendo un’importanza sempre maggiore tra le abitudini di acquisto dei clienti, in America e in tutto il mondo. Quali problemi potrebbero dover affrontare i clienti in termini di sicurezza informatica?
In effetti, abbiamo riscontrato un aumento del 55% dei ricavi per gli acquisti online. Soprattutto quest’anno si darà maggiore preferenza allo shopping online rispetto ai negozi fisici nei giorni del Black Friday e del Cyber Monday.
Per questo sia i clienti che le aziende che vendono i prodotti online devo essere estremamente vigili durante queste giornate, perché i cybercriminali sono molti bravi nel seguire la scia del denaro; i consumatori in particolare devono essere molto cauti perché prevediamo un aumento del 64% dell’attività criminale online durante questi giorni.
Per rendere più chiaro il quadro, forse è meglio dire qualche cifra. In base a uno studio condotto da RSA in collaborazione con Ponemon, se un sito Internet che offre un prodotto diventa vittima di un attacco DDoS, durante l’ora in cui il sito è offline, l’azienda perde dagli 8 mila ai 500 mila dollari al minuto, dipende dall’estensione’estensione del business.
Gli attacchi DDoS (Distributed Denial of Service) che mandano in crash i siti Internet dei commercianti sono davvero insidiosi, ed è quindi un fenomeno di cui preoccuparsi. Dal parte loro, gli utenti devono stare in guardia per via del phishing. A quali tipologie di attacchi di phishing avete assistito quest’anno e che risultati hanno dato in termini di efficacia?
Abbiamo riscontrato quest’anno un aumento degli attacchi di phishing e anche una maggiore diversificazione. Per esempio, nel mese di ottobre, l’AFCC (il centro anti-truffa di RSA) ha registrato un aumento dell’84% degli attacchi anno dopo anno, e siamo sicuri che gli hacker stanno già preparando le armi in vista delle vacanze di Natale.
Inoltre, bisogna ricordare che si può comprare online non solo dal PC. Quest’anno ci aspettiamo che il 20% dell’intero shopping online avvenga attraverso i dispositivi mobili. Durante quest’anno, il 50% delle e-mail inviate è stato aperto con un dispositivo mobile, un potenziale che gli hacker sapranno sicuramente sfruttare.
Abbiamo riscontrato una crescita importante del phishing anche attraverso gli SMS. Il meccanismo è il seguente: all’utente arriva un messaggio che lo informa della vincita, ad esempio, di un buono regalo; facendo click sul link presente nell’SMS, l’utente viene reindirizzato a una pagina dove è invitato a inserire i propri dati personali oppure username e password. I cybercriminali useranno poi queste informazioni per crimini informatici di vario genere. L’utente, per evitare questo tipo di truffe, non deve assolutamente cliccare sui link contenuti in un messaggio non richiesto o da email e post sui social media di dubbia provenienza.
È ormai sempre più evidente che gli attacchi di phishing stanno passando dai PC al mondo del mobile. Ma oltre al phishing, da cosa devono guardarsi gli utenti durante i propri acquisti online?
Durante la stagione dello shopping natalizio gli utenti dovranno prestare attenzione alle seguenti minacce:
Innanzitutto ad alcune applicazioni mobili pericolose, che sembrano provenire da case produttrici oneste, ma che in realtà servono per rubare le credenziali d’accesso agli account. L’utente deve sempre scaricare le applicazioni direttamente dal fornitore del servizio; anche i social network sul proprio sito Internet hanno il link per scaricare la corrispettiva applicazione mobile. In questo quadro di truffe continue, gli utenti Android devono prestare la massima attenzione perché sono quelli più nel mirino dei cybercriminali.
A proposito di social media, la seconda minaccia più diretta viene proprio da siti come Facebook e Twitter, che sono i veicoli principali di scam. Gli hacker sanno che su questo genere di siti gli utenti tendono a preoccuparsi meno della sicurezza dei propri dati. Ad esempio, sui profili di questi social possono arrivare agli utenti sconti promozionali o coupon che in realtà contengono malware in grado d’infettare il computer; oppure, per fare in modo che l’utente si fidi al 100%, gli hacker fanno in modo che questi messaggi sembrino inviati da un “amico” sul social. Infine, per ottenere uno sconto o un buono regalo, può essere chiesto di cliccare su “Mi piace” a una pagina o a compilare un formulario con i propri dati personali.
Una terza minaccia riguarda le carte di credito: a causa del grande volume di transazioni online durante il periodo dello shopping natalizio, i cybercriminali approfittano di questo “caos” per testare le carte di credito precedentemente rubate. Per questo, è necessario che in questo periodo l’utente controlli spesso l’estratto conto e la lista movimenti della propria carta di credito; può capitare, infatti, che i cybercriminali siano riusciti ad accedere da tempo al conto online, ma che fino a quel momento non se ne siano serviti.
Infine, la quarta minaccia da cui guardarsi è il phishing che potrebbe colpire un’azienda in maniera indiretta. Infatti, se un dipendente utilizza un dispositivo mobile sia per scopi professionali che personali, è probabile che effettui i suoi acquisti online attraverso questo dispositivo; se viene colpito da un malware, i dati aziendali possono correre un serio pericolo.
Soffermiamoci ancora un momento sulla questione phishing. In molti casi gli hacker riescono a spacciarsi per aziende serie. Indipendentemente che sia via email o attraverso i coupon sui social media di cui abbiamo appena parlato, il sito Internet che vende prodotti di varie marche è responsabile nel caso l’utente risulti vittima di un attacco di phishing sul proprio sito?
Sia i consumatori che i venditori devono prendersi le proprie responsabilità. In ogni caso, i venditori hanno il dovere di controllare, proteggere e garantire i dati personali e bancari dell’utente e potrebbero essere soggetti a multe salatissime nel caso si dimostri un’inadempienza.
Il commerciante, per ogni transazione sul proprio sito, dovrebbe accertarsi se si è trattato di un pagamento da parte di un cliente o di un’operazione criminale. Avere questa certezza conviene sotto due punti di vista: innanzitutto il commerciante eviterebbe eventuali rimborsi, ma soprattutto la reputazione e l’immagine della marca non verrebbero compromessi. È stato stimato, infatti, che in termini di danno d’immagine, un’ora d’interruzione del servizio può costare a un’azienda online oltre 3,4 milioni di dollari.
Per quanto riguarda la salvaguardia dei dati bancari, in che modo il venditore può accertarsi che il denaro ricavato dalla vendita di un prodotto derivi da un acquisto da parte di un utente o da un cybercriminale che ha ottenuto in maniera indebita le credenziali bancarie di un utente ignaro?
Dal punto di vista del pagamento, i venditori sono sempre in un equilibrio precario tra rischi, costi e misure di sicurezza per garantire agli utenti un acquisto senza intoppi. Per questo i commercianti dovrebbero prendere alcune precauzioni per salvaguardare il proprio business, come ad esempio supportare sistemi di verifica come SecureCode di Mastercard o Verify By Visa, che autorizzano la transazione solo se il proprietario della carta di credito dà il consenso al pagamento.
A proposito, cosa fanno le aziende come quella per la quale Lei lavora per contrastare questo genere di attività online fraudolente?
Bisogna innanzitutto ricordare che gli hacker seguono sempre il profumo dei soldi, per cui le attività fraudolente online non subiranno mai un declino anzi, tenderanno ad aumentare nel tempo. Molti consumatori sanno che esistono delle misure di sicurezza, ma spesso non sanno che i negozi online che visitano le stanno già adottando, perché è un lavoro che si svolge dietro le quinte. Ed è il lavoro che svolge RSA. Molte delle soluzioni che offriamo operano senza che i milioni di consumatori che se ne avvalgono ne siano a conoscenza.
Ad esempio, noi ed altre aziende del settore proponiamo servizi che contrastano il phishing e i Trojan sui più grandi negozi online del mondo; inoltre, identifichiamo e chiudiamo siti o risorse che ospitano attacchi di phishing e malware e facciamo anche un lavoro d’indagine per recuperare le credenziali d’accesso già compromesse, come quelle delle carte di credito.
Le stavo per chiedere se assisteremo mai alla fine dello scam, ma purtroppo ha già risposto alla mia domanda con un no inappellabile. Considerando quindi che il numero degli attacchi aumenterà nel tempo e che di pari passo aumentano la consapevolezza degli utenti e le soluzioni che contrastano questa tendenza, ci dobbiamo aspettare un numero maggiore o minore di vittime di truffe online?
Ogni anno registriamo un numero sempre maggiore di vittime delle varie tipologie di scam. Purtroppo i consumatori e i commercianti devono essere sempre più vigili, soprattutto perché gli attacchi stanno diventando sempre più sofisticati. Dal canto nostro, come industria della sicurezza IT, dobbiamo adeguarci a questi cambiamenti per aiutare i consumatori durante il proprio shopping online. La collaborazione tra aziende è fondamentale per fare fronte comune contro queste minacce e proteggere così al meglio i consumatori.
Le frodi diventano sempre più creative, per questo anche le soluzioni capaci di proteggere i consumatori devono avere un pizzico di creatività.