logo

CybergON Blog

Advancing the State of Cybersecurity.

Black Friday e Cyber Monday: i rischi informatici dell’e-commerce

Un attacco durato 5 giorni, quello di un gruppo di cyber attaccanti che hanno rubato tutti i dati sensibili dei clienti che hanno acquistato sull’e-commerce di Tupperware. Un danno che è costato parecchio all’azienda statutinense, nota per i suoi contenitori di plastica per alimenti, sia in termini monetari, ma, soprattutto, in termini di reputazione e di customer care. L’attacco ha permesso di raccogliere e rivendere preziose informazioni personali dei singoli clienti, tra cui anagrafiche complete e metodi di pagamento validi.

I cyber criminali, attraverso un codice malevolo, creavano un iframe sulla pagina ufficiale dell’ecommerce dell’azienda per clonare il modulo originale di pagamento di VISA CyberSource e carpire da lì i dati sensibili.

Il paradigma dell’e-commerce

Questo è solo uno dei tanti esempi che riguardano il mondo dell’ecommerce, un canale che ha profondamente modificato le nostre abitudini di acquisto di prodotti e servizi, ma che può essere vettore di attacchi informatici pervasivi e impattanti per il business. Ad oggi i siti e-commerce, nuovo canale imprescindibile soprattutto a seguito della globalizzazione, rappresentano non solo un alter ego digitale dei negozi fisici, ma anche un importante strumento di fiducia e fidelizzazione.

Secondo il Salesforce Shopping Index, nel Q1 del 2021 l’e-commerce in Italia ha beneficiato di una crescita del 78%, posizionandosi al quarto posto al mondo dopo Canada, Olanda e Regno Unito.

Grafico_crescita_e-commerce

Seguendo il principio del “follow the money”, le organizzazioni criminali hanno trovato in questo aumento vertiginoso di vendite online un’occasione ghiotta di profitto, orchestrando attacchi informatici sofisticati e costruendo meccanismi di frode sempre più avanzati.

Secondo l’Imperva’s Cyber Threat Index (CTI), che fornisce un punteggio di facile comprensione per il monitoraggio degli attacchi informatici a livello planetario, sono stati registrati nel 2020 oltre 30 miliardi di attacchi contro le web application del retail online.

Due sono le variabili che rendono l’e-commerce un target così appetibile: la prima è sicuramente la quantità di denaro che circola ogni giorno online – il Report CA E-commerce in Italia afferma che nel 2020 la spesa media per e-shopper è pari a 674 euro. La seconda è, invece, la quantità di dati sensibili che ogni giorno vengono inseriti dagli utenti, ad esempio le credenziali di accesso agli account e i riferimenti delle carte di credito.

Considerando l’afflusso generato solamente dal Black Friday e dal Cyber Monday, dai quali secondo Statista derivano 20 miliardi di dollari di fatturato in due sole giornate, è facile intuire l’interesse dei criminali a registrare anche più di 1000 domini somiglianti ai domini originali delle aziende, in modo da impersonificare i marketplace più famosi come Amazon e E-bay e rubare dati sensibili alle vittime.

Nel grafico sottostante, si può notare il picco di attività criminale che contraddistingue il periodo tra fine novembre-inizio dicembre e che coincide con l’inizio di Black Friday e Cyber Monday.

Picco_di_attacchi

Metodologie di cyber-attacco

Le tipologie di attacchi informatici all’e-commerce sono molteplici e si differenziano rispetto al target colpito, ovvero l’azienda o il cliente, e all’obiettivo del criminale.

Lato aziendale

Il criminale che prepara un attacco mirato ad un e-commerce avrà come obiettivo quello di colpire l’infrastruttura IT della vittima, come il sito internet o i server che lo ospitano.

1. Il defacing del sito

Il defacing, dall’inglese “sfigurare”, è la deturpazione di un sito web che viene modificato tramite un accesso non-autorizzato. La rivendicazione dell’atto avviene in modo immediato tramite firme digitali come “you got hacked” o “pwnd” con il nome dell’attaccante e le immagini.

Questa tipologia di attacco è una tra le più impattanti per l’immagine di un brand, poiché causa ripercussioni dirette sulla fiducia dei consumatori. A giugno 2021, una vulnerabilità della versione 4.7.1 di WordPress (CVE-2017-5487) ha coinvolto il 28,4% di tutti siti mondali. Nell’immagine possiamo vedere una classifica dei primi 25 indirizzi IP che hanno sfruttato a proprio vantaggio la vulnerabilità.

Defacing_siti_hackerati

Un recente caso di defacement recente è avvenuto durante l’attacco alla piattaforma di streaming Twitch e ha riguardato l’introduzione di una fotografia di Jeff Bezos come sfondo al canale multiplayer Dota2.

Dota_2_defacement_twitch

2. Attacchi DDOS

Essere operativi 247 è diventata una prerogativa dell’e-commerce: le conseguenze di un fermo sistemistico possono causare, oltre al danno per il mancato incasso durante il tempo in cui l’e-commerce è rimasto irraggiungibile, l’abbandono della piattaforma da parte degli utenti e uno spiacevole senso di sfiducia.

Il Distributed Denial of Service è un attacco efficace utilizzato dai criminali per saturare di richieste un sito e renderlo così non-operativo. Per indirizzare attacchi DDos alle applicazioni web dell’e-commerce vengono utilizzate delle botnet, cioè una serie di reti di server o dispostivi infetti controllati dai criminali per eseguire script automatizzati e causare l’interruzione del servizio.

Nel 2020 Amazon Web Services ha dovuto affrontare per tre giorni una delle offensive più grandi nella storia, con circa 2,3 Terabit per secondo, che risultò essere il 44% più grande rispetto a qualsiasi attacco informatico mai registrato della stessa tipologia.

3. Cross-site scripting

Un altro attacco informatico molto utilizzato è il cross-site scripting (XSS), ovvero un’iniezione di codice malevolo per sfrutta le vulnerabilità di siti web dinamici. In questo caso, gli attaccanti neutralizzano in modo errato l’input dei form esposti online tramite alcune applicazioni che successivamente permettono l’esecuzione di script malevoli, per esempio, in Javascript.

Esistono due tipi principali di XSS:

XSS non-persistente o riflesso Gli attacchi riflessi sono quelli in cui lo script iniettato viene riflesso dal server, ad esempio in un messaggio di errore, nel risultato di una ricerca o in qualsiasi altra risposta che includa l’input inviato al server come un login. Quando un utente clicca su un collegamento malevolo, ad esempio all’interno di una mail di phishing, il codice iniettato viaggia verso il sito web vulnerabile che riflette l’attacco al browser dell’utente. Il browser in questo caso esegue il codice perché proviene da un server “attendibile”.

XSS persistente o archiviato In questo caso l’applicazione web archivia il codice malevolo del criminale in un database o in un registro. In un secondo momento, lo script viene riletto ed eseguito dall’applicazione includendolo nel contenuto dinamico. I criminali ricercano un luogo ottimale per iniettare lo script dannoso. Alcuni esempi possono riguardare un’area visualizzata da un numero elevato di utenti, come un login, o applicazioni dove vengono inseriti dati sensibili da trafugare.

Lato cliente

Sempre più attacchi coinvolgono direttamente l’utente che acquista online sui siti di e-commerce e, nonostante questi non riguardino direttamente l’infrastruttura IT dell’azienda, possono avere ripercussioni importanti sul business. Tra le minacce più diffuse, le frodi basate sul phishing e credential stuffing hanno raggiunto una dimensione sempre più preoccupante, tanto che le aziende di e-commerce si sono viste obbligate a rimborsare le vittime.

1. Phishing

Si tratta di e-mail che impersonificano un brand e convincono l’utente a cui sono indirizzate a fornire le credenziali di accesso ad un servizio. Imitando nell’aspetto e nella terminologia l’azienda, il criminale informatico ottiene preziose informazioni per poter accedere in modo indisturbato agli account e acquistare a nome della vittima.

2. Credential stuffing

Secondo Akamai, leader di servizi CDN, nel periodo dal 1° luglio 2018 al 30 giugno 2020, oltre il 90% dei 64 miliardi di tentativi di credential stuffing registrati ha colpito il settore del retail online. North Face, il gigante dell’abbigliamento outdoor, il 13 novembre 2020 ha notificato ai clienti di essere stato colpito da un attacco di credential stuffing e che diversi criminali potrebbero aver ottenuto l’accesso alle loro informazioni personali.

Un attacco di credential stuffing si verifica quando i criminali informatici utilizzano software automatizzati per fare tentativi di accesso con dati precedentemente acquisiti da un altro set di dati trafugati. Se l’utente abitualmente ricicla sempre la medesima password, corre il rischio di avere il proprio account compromesso.

Fortunatamente, North Face utilizza la tokenizzazione per offuscare i dettagli della carta del cliente, ma altre tipologie di informazioni personali sono state accessibili a terzi. Tra queste, si elencano nome, cognome, prodotti acquistati, data di nascita, numero di telefono, indirizzo di fatturazione, indirizzo di spedizione e saldo dei punti fedeltà. A seguito dell’attacco, l’azienda ha eliminato tutti i token delle carte di pagamento sul sito, ha limitato gli accessi dalle fonti sospette e ha disabilitato tutte le password degli account compromessi.

Remediation

Nonostante i cyber attacchi alle piattaforme di e-commerce siano sempre più frequenti e impattanti, la predisposizione ad investire in un’efficace strategia di security rimane ancora molto bassa.

Secondo un’indagine del 2019 dell’Osservatorio di Digital Innovation, il settore e-commerce in Italia è uno tra i meno propensi a investimenti mirati in sicurezza informatica e data protection, con ben il 38% dei referenti IT intervistati che considerano “non molto importante” proteggere il proprio business online.

Defacing_siti_hackerati

Tuttavia, considerata l’evoluzione degli eventi nell’ambito della sicurezza digitale, nasce la necessità sempre più stringente di sviluppare una strategia per la difesa del proprio e-commerce a più livelli.

La protezione dell’e-commerce

a. Il Backup

In caso di attacco informatico, il backup diventa l’unica procedura tecnologica che permette di ripartire in sicurezza e in tempi rapidi. Affiancato da un piano di disaster recovery, il backup deve essere utilizzato non solo per conservare tutti i dati del business, ma anche per creare un e vero proprio duplicato del sito e-commerce.

b. Protezione Anti-ransomware

Quest’anno il ransomware LokiBot 2.0 è riuscito a mettere offline il sistema di prenotazioni regionale della Regione Lazio causando ritardi e rallentamenti nelle vaccinazioni. Essere pronti a fronteggiare un attacco ransomware permette di mantenere l’operatività dei server e il back-end utilizzati dal sito.

Implementare una soluzione XDR, acronimo di Extended Detection e Response, permette di rilevare in modo più rapido le minacce e di migliorare i tempi di risposta attraverso l’analisi degli eventi nel perimetro.

c. La gestione degli aggiornamenti

La gestione delle patch e degli aggiornamenti di sistema giocano un ruolo fondamentale per la risoluzione tempestiva delle vulnerabilità dei software e della piattaforma dove risiede il sito e-commerce.

d. Cifratura

La cifratura del database del sito è necessaria per scongiurare altre tipologie di Injection di codice malevolo e andrebbe accompagnata dall’attivazione di un certificato SSL/TL. Tali protocolli crittografici proteggono i dati che transitano tra il sito e l’utente ed evitano gli attacchi di intercettazione detti “man in the middle”.

e. Password

Attivare l’MFA per accedere agli account e scegliere una password efficace con almeno 12 caratteri, numeri e simboli speciali sono piccoli passi per una protezione più efficace.

La scelta della piattaforma

Scegliere la piattaforma corretta per ospitare il sito e-commerce è la base per mantenere un alto livello di affidabilità che assicuri la continuità di business. Come è stato per Kaseya, gli attacchi ai fornitori di servizi di hosting dei sistemi sono sempre più comuni e coinvolgono specialmente i fornitori di piattaforme in modalità SaaS. Questo accade perché i Cyber criminali preferiscono sfruttare l’economia di scala ed attaccare il fornitore che effettua l’hosting piuttosto che il singolo dominio di un e-commerce.

Effettuare PT e VA

I penetration test e i vulnerability assessment sono stress test importanti per le infrastrutture IT che devono essere effettuati da esperti in cyber security in modo ricorrente. Queste attività permettono di prendere coscienza dei punti deboli dell’infrastruttura IT di un’azienda, compreso il sito e-commerce, e provvedere con delle azioni di remediation.

Conclusione

Queste misure sono solo il primo passo per una corretta strategia di protezione dei siti e-commerce, ma rappresentano una variabile di differenziazione per qualità del servizio e di attenzione verso il cliente che possono fare la differenza, specialmente se il sito internet rappresenta la principale fonte di guadagno di un brand.