La voglia di fare qualche buon affare per il Black Friday coinvolge molti consumatori che comprano in rete. Purtroppo con tutta questa euforia spesso si dimenticano i fondamenti della sicurezza online e ciò rende consumatori e rivenditori obiettivi più facili e più appetibili per i criminali informatici.

Il Data Breach Investigations Report 2021 di Verizon Business (2021 DBIR) ha recentemente evidenziato che gli hacker prendono di mira soprattutto i dati riservati archiviati nei device all'interno dei punti vendita, inclusi i dettagli di pagamento dei consumatori (42%), le informazioni personali (41%) e le credenziali (33%).

verizon

Se qualcosa sembra troppo bello per essere vero, probabilmente lo è!

Il settore della vendita al dettaglio continua a essere un obiettivo per i criminali informatici che, spinti da motivazioni economiche, cercano di ottenere i codici delle carte di pagamento e le informazioni personali dei clienti. Fra le principali tattiche di social engineering utilizzate dagli hacker vi sono pretexting e phishing, che secondo i dati del DBIR 2021 sono utilizzati nel 77% delle violazioni in ambito retail, con il primo che comunemente si traduce in trasferimenti di denaro fraudolenti.

Le campagne di phishing possono essere suddivise in quattro gruppi distinti: una truffa, come l'e-mail di un parente che è intrappolato all'estero e ha bisogno di denaro per tornare a casa; la brand impersonation, il messaggio sembra provenire da una banca o da un marchio di fiducia che richiede all'utente di confermare un pagamento o di approfittare di un’offerta speciale; l’estorsione, progettata per spaventare l'utente e infine la Business Email Compromise (BEC), un attacco altamente mirato a un'azienda o a un individuo. Tutte le campagne invitano gli utenti a fare clic sui collegamenti, per indirizzarli a pagine false o per spingerli a inviare informazioni riservate.

Durante la pandemia, è aumentato anche tra i rivenditori più piccoli e le realtà dell’hospitality l'uso dei QR code come soluzione per ordinare e pagare facilmente. Tuttavia, i consumatori dovrebbero fare attenzione poiché questi codici potrebbero rimandare a URL sospetti che, a loro insaputa, potrebbero   effettuare pagamenti, inviare dettagli sulla posizione e collegarsi ai loro profili social nel tentativo di rubare credenziali personali e informazioni di pagamento.

Se un'azienda retail fa delle offerte sui propri prodotti troppo belle per essere vere, allora probabilmente lo sono! Per questo è meglio evitare di cliccare sui link di queste “occasioni”.

Ovviamente il consiglio principale per sfuggire alle truffe di phishing è di non aprire le email che sembrano sospette, anche se la natura e la curiosità umana rendono tutto ciò più facile a dirsi che a farsi.

Per questo, la formazione regolare delle risorse è la migliore difesa, per spiegare loro le tattiche utilizzate dalle campagne di phishing e come individuarle, per proteggere i dati aziendali riservati e per aiutare i dipendenti nell’utilizzo dell’ecommerce.

Mantenere la barra dritta sulla sicurezza: la responsabilità del rivenditore

Oggi i retailer devono proteggere la sicurezza dei propri dati e di quelli dei loro numerosi clienti. In un'era sempre più digitale, per le aziende è importante impiegare tutte le soluzioni possibili, tanto quanto lo è avere la consapevolezza delle strategie utilizzate dai criminali informatici. Avere una mente aperta nei confronti delle più moderne tecnologie è un modo prezioso per essere sempre un passo avanti agli aspiranti hacker.

I nostri dati mostrano che negli ultimi cinque anni il 35% delle 1.354 violazioni che hanno fatto registrare il furto delle informazioni sulle carte di pagamento è dipeso da sistemi di cassa (PoS) compromessi utilizzati nei negozi fisici; mentre il 38% proveniva da applicazioni web compromesse, come i siti di shopping online.

Questi attacchi Web compromettono l'applicazione di pagamento di un sito Internet, installando un codice all’interno dell’app per acquisire le informazioni sulle carte di pagamento dei clienti mentre completano i loro acquisti. Queste violazioni probabilmente non fanno notizia, ma possono avere comunque gravi conseguenze. I criminali informatici di oggi mirano a colpire applicazioni di e-commerce vulnerabili che permettano loro di lanciare attacchi efficaci e automatizzati.

Cosa possono fare le aziende per ridimensionare questa minaccia?

  • Comprendere l'importanza dei software che monitorano l’integrità dei file: i criminali informatici che prendono di mira le applicazioni web non puntano ai dati inattivi. Piuttosto, inseriscono un parte di codice per acquisire i dati dei clienti mentre compilano i moduli web. Per combattere questo metodo, le aziende possono utilizzare software che monitorano l’integrità dei file, aggiungendoli al sistema antimalware dei propri siti di pagamento, e applicare delle patch al sistema operativo e al codice dell'applicazione di pagamento.
  • Abbracciare l’innovazione: puntare sulle nuove tecnologie che rendono più complicato per i criminali sfruttare i terminali PoS. Fra queste ci sono EMV e wallet digitali, o qualsiasi altro metodo che utilizzi un codice di transazione una tantum, al contrario di ciò che fanno i PAN.

Sebbene i criminali siano spesso alla ricerca delle informazioni sulle carte di pagamento, questa non è l'unica tipologia di dati che considerano utile. I retailer dovrebbero anche ricordare che i programmi a premi basati sulle raccolte punti sono potenziali obiettivi, poiché contengono preziose informazioni personali dei clienti.

La sicurezza è responsabilità di tutti

Una cosa è certa, la sicurezza dei dati, indipendentemente da dove questi siano archiviati – negli strumenti di cassa dei negozi, su un dispositivo mobile, su un account social o su un computer – è responsabilità di tutti. I consumatori devono essere diligenti e sapere con chi condividono i propri dati e come interagiscono online. Allo stesso modo, i rivenditori hanno la principale responsabilità di proteggere non solo il proprio marchio e i propri dati, ma anche quelli dei propri clienti che si affidano e si fidano del loro brand.

Per molte organizzazioni di vendita al dettaglio, specialmente quelle più piccole, l'implementazione di soluzioni di sicurezza su ampia scala non è né conveniente né fattibile, ma ogni misura attuata, anche se piccola, può avere un impatto molto vantaggioso quando si tratta di rilevare e scoraggiare i criminali informatici.