Il successo crescente dell’e-commerce e il forte rischio di attacchi informatici.
Mi rivolgo espressamente a voi che avete uno shop online o che vorreste aprirne uno: vi siete mai chiesti, oltre ai grandi vantaggi che potete trarne, a quali rischi siete costantemente esposti?
Con questo articolo cercheremo di approfondire insieme le dinamiche del fenomeno dell’e-commerce con i suoi evidenti vantaggi ma soprattutto con le sue tante falle, oltre a comprendere le eventuali possibili soluzioni.

Spoiler: la bella notizia è che la soluzione esiste
Ma partiamo da principio: questa pandemia ha portato con sé una vera e propria rivoluzione tecnologica che da marzo 2020 ha permesso di trovare soluzioni digitali che affiancassero ed agevolassero la nostra vita quotidiana: smart working, siti web, e-commerce ed applicazioni web-based in grado di raggiungere fette sempre più ampie di popolazione.
Tali cambiamenti non hanno riguardato solo la nostra vita professionale, ma hanno coinvolto sempre di più la sfera privata in settori come quello dell’intrattenimento e quello degli acquisti on-line.
Nello specifico, l’e-commerce ha consentito alle aziende di continuare a vendere i propri prodotti e servizi triplicando il numero dei propri consumatori ed aumentando le piattaforme del 55%.
E non è finita qui! Il trend è in continuo aumento, tanto da far stimare una crescita che porterà al raggiungimento di 4,5 trilioni di dollari di vendite a fine 2021.
Tutto ciò ha anche un suo risvolto negativo: cresce l’e-commerce e cresce anche il rischio di attacchi hacker
Il settore della cyber security mondiale è concorde nell’affermare che mai come nel primo trimestre del 2020 la sicurezza informatica è stata minata da una percentuale sempre più allarmante di attacchi web.
Ecco perchè ora come mai si rende necessario affrontare l’argomento dell’e-commerce e dei relativi attacchi informatici.
Innanzitutto va detto che la presenza di hacker sui siti è ormai una costante perché questi ultimi sono dei veri e propri contenitori di informazioni, spesso lasciati incustoditi o non correttamente protetti, dove l’attacco mira all’inserimento o alla modifica di contenuti e, quel che è peggio, alla sottrazione di tutte le informazioni sensibili che tali siti custodiscono.

Avete idea di quali e quante informazioni di utenti siano contenute in uno shop online?
Di più! Ecco perché sarebbe il caso di domandarsi se i possessori di e-commerce abbiano anche pensato ad implementare soluzioni di cyber security per proteggere i propri siti da attacchi di hacker e di virus informatici, preservando tutti i dati in essi contenuti da rischi di manomissione o furto.
Hacker e virus sono attratti dai siti di e-commerce esattamente come le api dal miele
Per comprenderne il motivo basta focalizzarsi su alcuni fattori che rendono tali siti molto appetibili agli occhi dei criminali informatici:
- basso livello di misure di sicurezza nelle aziende
- grandi quantità di dati che possono essere rubati
- collegamenti diretti di siti di e-commerce con servizi di pagamento
E come se non bastasse le tipologie di attacchi informatici possono assumere diverse forme
Frode CNP (card not present)
Per tutti quei rischi legati ai pagamenti con carta di credito, principale mezzo di pagamento usato nelle transazione degli e-commerce.
La memorizzazione dei propri dati (nome , cognome, n° e scadenza della carta e relativo codice cvc) in questi siti, esercitano un’elevata attrattiva tra i criminali informatici che riescono ad impossessarsene tramite malware, dispositivi di skimming o acquistandoli sul dark Web. Ecco che diventa un gioco da ragazzi utilizzare i dati così rubati per effettuare piccoli addebiti random sui conti degli utenti, facilmente camuffabili tra le comuni abitudini di spesa.
Formjacking
Tecnica di attacco che si verifica quando l’hacker inietta una porzione di codice JavaScript in una pagina web per acquisirne alcune funzionalità.
Si chiama Formjacking perchè tale codice viene inserito nella porzione di sito che interessa i form, ossia i moduli di contatto e quindi il canale principale nel quale l’utente trasmette i suoi dati sensibili al sito.
Ed ecco che ci risiamo con gli hacker già pronti ad accaparrarsi tutte le informazioni relative a carte di credito o ad altre informazioni presenti nei vari moduli di pagamento.
Plugin e CMS di terze parti
Parliamo di zero day exploit, ossia delle vulnerabilità di nuova formazione. Si tratta di falle del sistema che ancora non sono rese note alla casa madre o al singolo sviluppatore del plugin, e che rappresentano una vera e propria mina vagante.
Basta che un qualsiasi hacker scopra questa fragilità del sistema prima di tutti ed il gioco è fatto! Proprio da questa tempistica di esecuzione deriva il nome 0-day, ossia dal tempo che trascorre da quando la vulnerabilità è stata resa nota allo sviluppatore al giorno in cui si necessita di una patch. Nell’ e-commerce il rischio è dato dal fatto che i plugin hanno spesso controlli insufficienti o perché le implementazioni possono essere aggirate con facilità.
Phishing
Ebbene sì! Anche questo fenomeno riguarda i siti di e-commerce e non soltanto le caselle postali degli utenti.
La nuova tendenza degli phisher è quella di generare dei siti e-commerce fasulli.
Sarà certamente già capitato a molti di voi di essersi imbattuti in questa truffa che vi arriva travestita da un’e-mail di finta conferma ordine o consegna, con lo scopo di estorcervi dati sensibili.
Solitamente queste truffe online vi indirizzano ad una pagina pubblicitaria o replicano delle pagine web in modo speculare a quelle di e-commerce realmente esistenti.
Chi di voi almeno una volta non ha rischiato di cascare in questa trappola?
Eccovi un consiglio spassionato: controllate sempre l’URL di questi siti. Vedrete che il nome del dominio non corrisponde mai al nome dell’e-commerce sul quale credete di essere.
Piccola parentesi tecnica che impone una riflessione
Il Report Global Data at Risk – 2020 State of the Web di Tala Security, scrive che la quasi totalità dei siti web più visitati al mondo è vulnerabile ai più comuni attacchi lato client. Questo significa che una serie di marchi globali possiede siti web con integrazioni JavaScript di terze parti, che non hanno nè adeguata sicurezza nè corretta supervisione.
Sembra impossibile che davanti ad una tale mole d’affari persista una così scarsa attenzione nei confronti della sicurezza online.

Esistono segnali che possono indicare la presenza di intrusi sul vostro sito?
Certo che sì.
Vediamo insieme quando dobbiamo far scattare il nostro campanello d’allarme:
- Quando Il motore di ricerca mostra strani avvisi mentre visiti un e-commerce.
- Quando accedendo ad un e-commerce, il browser ti restituisce continui pop-up o strani messaggi.
- Quando chi ti fornisce l’hosting del sito web ha disattivato il servizio. Infatti la società che fornisce l’hosting del tuo e-commerce può disattivare il sito qualora rilevi del codice dannoso non riuscendo a contenere i danni.
- Quando le mail inviate dal sito web finiscono in Spam. Questo succede quando tutte le e-mail inviate dalla piattaforma e-commerce finiscono nella posta indesiderata dei tuoi clienti. E capita nel caso in cui, uno o più hacker abbiano sfruttato un indirizzo per inviare e-mail infette agli utenti.
- Quando ricevi continui reclami da parte dei client con cui ti comunicano che hanno verificato transazioni o comunicazioni sospette provenienti dal tuo e-commerce.
- Quando appaiono annunci pop-up e banner presenti sul tuo e-commerce senza alcun permesso, che potrebbero addirittura reindirizzare il traffico dei tuoi clienti verso altri siti.
Attenzione perché qui vengono compromesse la vostra immagine e la vostra reputazione!

Come proteggere i nostri e-commerce?
La prima domanda che dovete porvi è da dove partire per tutelare il vostro sito di e-commerce.
Le caratteristiche essenziali che ciascun e-commerce dovrebbe avere, per tutelare l’azienda e gli utenti che vi transitano, è un Ambiente sicuro ed un’infrastruttura costantemente monitorata.
L’implementazione delle misure di sicurezza del vostro e-commerce non solo vi proteggeranno delle frodi e dagli attacchi di virus e hacker, ma ve ne garantiranno il successo che altrimenti correrebbe seri rischi di essere minato.
La seconda ed ultima domanda che dovete porvi è se avete già fatto un check-up di tutte le vulnerabilità di sicurezza del vostro portale e-commerce.
Se la risposta è NO, il consiglio spassionato che mi sento di darvi è quello di richiedere quanto prima un Web Vulnerability Assessment.
Mediante il servizio di monitoraggio delle vulnerabilità, possiamo individuare i punti deboli dei vari siti web per poi fornirvi istruzioni mirate per metterli in sicurezza e finalmente al riparo da tutti i possibili attacchi di hacker e di virus.