Ecommerce Security: iI 2018 prevede una crescita record per i portali e siti di Ecommerce. Si prevedono guadagni di oltre 4,48 trillioni di dollari entro il 2021 solo negli Stati Uniti.
Il 2018 sarà anche l’anno del mobile ecommerce. Se nel 2017 l’incremento degli acquisti online tramite dispositivi mobile è stato del 5%, ci si aspetta di arrivare a circa il 40% nel 2018 mentre si raggiungerà un incremento del 54% entro il 2021.
Indubbiamente un mondo di estremo interesse per i Criminal Hacker e di conseguenza anche per gli esperti di CyberSecurity. L’Ecommerce Security sarà una priorità per i proprietari e gestori di siti di ecommerce.
Ecommerce Security: Le soluzioni di Cybersecurity
L’ecommerce security è sempre stata una priorità, da ormai molto tempo. Gli esperti di cybersecurity da sempre identificano ed evidenziano le minacce e le soluzioni per la protezione dei siti di ecommerce. I malintenzionati sono e saranno ovunque. Tuttavia, con l’evoluzione e la diffusione della tecnologia e l’espansione trasversale della stessa, sono aumentate anche le minacce e il livello di rischio relativo. L’ecommerce security è diventata un driver importante soprattutto in termini di Brand Reputation. I Criminal hacker prendono di mira siti governativi e bancari, ma oggi soprattutto i siti ecommerce.
Questo perché? Perché i siti di ecommerce spesso hanno livelli di sicurezza inferiori rispetto a quelli bancari e/o governativi. Per intenderci, è più semplice rubare o sottrarre informazioni personali considerando che queste includono anche i dati di pagamento. Questi dati di pagamento, sul Dark Web, hanno un mercato florido e si vendono fin troppo bene. Analizziamo di seguito le minacce principali relative all’Ecommerce Security.
Ecommerce Security: Le minacce
Quali sono però le minacce specifiche cui vanno incontro le piattaforme ecommerce?
Vulnerabilità note. Gli hacker sono molto più subdoli di quanto si possa immaginare ma non fanno miracoli. Molto spesso, anzi, sfruttano delle vulnerabilità note e conosciute spesso con gli exploit già pubblici. Questo permette ai cyber-criminali di entrare tramite delle back doors, delle porte di servizio che la gran parte dei software hanno. In un secondo momento è possibile impiantare il codice malevolo che poi porta al malware di turno che ruberà i dati. Sono in particolare 2 le vulnerabilità più note delle piattaforme di ecommerce:
- Cross Site Scripting. Le piattaforme ecommerce sono le più vulnerabili a questo attacco, in quanto usano JavaScript. Gli hacker possono in questi casi inserire pezzi di JavaScript infetti, i quali, tra le altre cose, possono offrire ai malintenzionati la possibilità di accedere ai cookie (quelli che ci annoiano di continuo con la richiesta di accettarli, sì) e rubare informazioni personali per poi impersonare l’utente di turno. Questo è niente, l’attacco di tipo Cross Site Scripting può anche permettere al cyber-criminale di accedere ad altri dati presenti sul computer, rendendo l’utente vulnerabile a tentativi di phishing, ovvero furto d’identità, e infiltrazioni di malware. Per dare un’idea dell’impatto sulla ecommerce security, questo è un attacco che solo l’anno scorso ha colpito oltre 6mila siti e-commerce, rubando i dati di pagamento di centinaia di migliaia di utenti.
- SQL Injection. Per SQL s’intende un linguaggio standardizzato progettato per creare e modificare i database. Si tratta però di un elemento alquanto vulnerabile nelle piattaforme ecommerce, in quanto non è difficile per l’hacker inserire elementi nocivi che il database potrebbe riconoscere come legittimi, permettendo al malintenzionato di accedere ai tuoi dati, se non addirittura di creare account admin e di conseguenza assumere la gestione e il controllo del sistema.
Phishing: È uno dei fenomeni più noti e maggiormente discussi nel mondo della cybersecurity, anche per i non addetti ai lavori. Tutti noi, prima o poi, siamo andati incontro a minacce di phishing. Sono generalmente quelle e-mail che o sono palesemente spam, o sono abbastanza ingannevoli da farti cliccare sul link da loro fornito, rischiando così di aprire la porta ai malware. Non sono da prendere sottogamba, poiché per questi attacchi basta ben poco: per esempio, un operatore di un sito ecommerce che ingenuamente clicchi su uno di quei link nelle mail, dando accesso al suo account admin potenzialmente esporrebbe gli utenti del sito e-commerce in questione a un enorme furto di dati.
DDOS: È una sigla che sentiamo nominare spesso quando si parla di cybersecurity. Questo non è un caso, poiché assieme al phishing è anche questo un attacco molto diffuso. Per DDoS, che sta per Distribuited Denial of Service, s’intende quel tipo di cyber-attacco che punta a saturare il sistema bombardandolo di richieste e come dice la parola stessa, indurre un denial of service, cioè un blocco dello stesso. Gli attacchi DDoS sono particolarmente complicati da risolvere per i siti ecommerce, in quanto la risposta sarebbe bloccare l’indirizzo IP da cui provengono le richieste, ma essendocene fin troppi, è pressoché impossibile. Un altro punto di attenzione è relativo al fatto che queste piattaforme vengono sempre più spesso connesse a più dispositivi rendendo più vulnerabili persino i siti ecommerce più famosi.
Bad Bots. Detto in termini semplici, un bot è un programma creato apposta per rendere automatiche le operazioni ripetitive. Esistono tuttavia bots “buoni” e bots “cattivi”. I “good bots” sono quelli che i motori di ricerca come Google usano per indicizzare il tuo sito: è agli occhi di questi che il sito ecommerce deve essere visibile, così che possa essere trovato tramite una semplice ricerca. I bad bots invece sono più subdoli. Essi prendono dal sito informazioni che riguardano i prezzi, la merce in magazzino, per poi comprarla e rivenderla, addirittura possono anche prendere il controllo di account di persone reali e accedere al database per poi carpire le informazioni di login da rivendere successivamente. Statisticamente, i bad bots sono più numerosi dei good bots, il che in termini di cyber-security è molto rischioso in particolare per i siti e-commerce, in quanto sono i più vulnerabili in questo senso.
MITM (Attacchi Man in the Middle). Questo tipo di attacchi implica la presenza di un terzo elemento che “ascolta” la comunicazione che avviene sul sito. Questo succede perché l’utente magari è collegato a una rete Wi-Fi non sicura, che di fatto rende la comunicazione, ovvero tutte le azioni che l’utente compie sul sito, non crittografata, e dunque vulnerabile.
Malware: La più grande minaccia del web. I malware sono software malevoli che gli hacker usano per i loro scopi, sono particolarmente utili in quanto ne esistono di diversi tipi che possono essere usati per differenti ragioni: in particolare, i siti e-commerce sono più spesso vittime di banking Trojans, ovvero malware volti al furto dei dati, nello specifico i dati di pagamento degli utenti.
Ecommerce Security: Le soluzioni Cybersecurity
Di seguito il vademecum per un ecommerce security secondo le best practice:
- Effettuare vulnerability scan periodici. L’antivirus del computer te lo chiede almeno una volta alla settimana, ma non a caso. Fare una scansione di sicurezza è necessario per capire se ci sono problemi o, nel caso dei siti e-commerce, delle vulnerabilità di sicurezza del sistema. È importante per capire come reagire. Registrati su Swascan per usare i servizi cyber che ti permettono di identificare le eventuali vulnerabilità presenti e il relativo livello di rischio.
- Utilizzare una crittografia SSL/TLS su tutte le pagine del sito. La gran parte dei siti e-commerce usa una crittografia HTTPS per proteggere i dati di pagamento, tuttavia lasciare le altre pagine senza questo tipo di protezione può ugualmente esporre il sito a furti di dati. Per questo vale la pena aggiungere una crittografia SSL (Secure Sockets Layer) o TLS (Transport Layer Security) al tuo sito e-commerce: la seconda è una versione più aggiornata della prima, ma fondamentalmente fanno la stessa cosa, cioè garantiscono la sicurezza della connessione Internet, proteggendo i dati degli utenti.
- Tenere le patch sempre aggiornate. Le piattaforme come WordPress rilasciano di continuo versioni aggiornate del software, questo perché aggiungono patch (delle “pezze”, diciamo) che vanno a sistemare vulnerabilità note in precedenza. Poiché i bad bots scansionano i siti e-commerce regolarmente, in cerca di vulnerabilità, è essenziale che tu mantenga il software sempre aggiornato.
- Usare password efficaci e un’autenticazione a due fattori per gli account degli admin. Questi ultimi sono spesso un vero tallone d’Achille per le piattaforme ecommerce, il minimo che puoi fare è essere sicuro di chi vi ha accesso.
- Aderire al PCI (Payment Card Industry). Se il tuo sito e-commerce accetta le carte di credito come metodo di pagamento, è opportuno aderire allo standard di sicurezza voluto dal consiglio di sicurezza della Payment Card Industry, ovvero l’associazione internazionale che unisce le principali carte di credito. Lo standard di sicurezza PCI è una garanzia contro una minaccia imponente per i siti ecommerce, il furto dei dati di pagamento: aderire significa offrire una protezione in più ai tuoi utenti. Devi farlo tu personalmente, poiché piattaforme come Magento non lo fanno in automatico.
- Usare solo temi e plugin autorizzati e aggiornati. Lo scorso anno WordPress ha scoperto che il 52% delle vulnerabilità dei suoi siti proveniva da plugin non autorizzati, l’11% dai temi. È importante che vengano scaricati plugin e temi direttamente dalla piattaforma madre, per essere sicuro che gli aggiornamenti siano verificati e non lascino la porta aperta ai malintenzionati.
Ecommerce Security: Protezioni Cybersecurity più solide
Al di là delle misure menzionate sopra, è bene applicare soluzioni di ecommerce security più solide. Questo include:
Ecommerce Security: Web Application Firewall (WAF).
Fondamentalmente, un firewall specializzato nella protezione delle applicazioni web, e come tale analizza il traffico http verso il sito e-commerce, impedendo ai malintenzionati di infiltrarsi attraverso vulnerabilità del sistema.
Ecommerce Security: Captcha
Captcha: Sono irritanti per gli utenti, ma ottimi per bloccare i bad bots.
Ecommerce Security: CDN (Content Delivery Network).
Questa protezione agisce su due livelli: da un lato controlla il traffico in entrata, o per meglio dire, gli indirizzi IP da cui questo traffico proviene, proteggendoti da attacchi DDoS, dall’altro, se combinato a un WAF e/o a un Captcha, ti consente di individuare subito le azioni sospette e reagire velocemente.
Ecommerce Security: Server e servizi
La gran parte dei siti e-commerce si affida a server esterni per immagazzinare dati di ogni tipo, inclusi quelli di pagamento, tuttavia questo espone ad attacchi hacker molto più spesso di quanto s’immagini, poiché questi server spesso hanno delle vulnerabilità insite di cui i cyber-criminali sono ben a conoscenza. Naturalmente ci sono server per i siti ecommerce che sono più o meno sicuri, perciò valuta attentamente le tue opzioni prima di scegliere e, nella fattispecie, prediligi i server che aderiscono allo standard di protezione PCI, ma non solo. Un server ideale dovrebbe rispettare i seguenti criteri:
- Utilizza una crittografia 256 bit. Meglio conosciuta come Advanced Encryption Standard (AES), questo algoritmo di protezione è il più affidabile sul mercato in quanto, a oggi, non esiste un cyber-attacco in grado di manometterlo abbastanza da intaccare i tuoi dati. Per intenderci, l’NSA usa proprio l’AES per proteggere i suoi documenti top secret.
- Effettua dei backup a cadenza regolare.
Ecommerce Security: Informa i dipendenti
La seconda ragione per il furto di dati sui siti ecommerce, dopo il mancato o obsoleto allineamento con lo standard PCI, è una mancanza interna, dei dipendenti. Basta che un impiegato ingenuamente apra un link infetto per compromettere tutto il sistema. Inoltre, nel 60% dei casi l’occhio avveduto di un impiegato può smascherare il cyber-attacco al principio, proteggendo il sito prima che avvenga il peggio. Per questo è necessario tenere i tuoi impiegati sempre informati e aggiornati sulle misure di sicurezza.
Ecommerce Security: Monitora l’attività sul sito
Uno dei punti di forza di alcuni hacker, è la capacità di rendersi invisibili. Lasciare la protezione interamente ai sistemi di sicurezza che questi cyber-criminali sono molto spesso ben allenati ad aggirare è da irresponsabili. Monitora dunque le attività che avvengono sul tuo sito ecommerce, specie le transazioni finanziarie, le modifiche agli indirizzi di spedizione e fatturazione oltre che alle password e alle e-mail, per non parlare poi degli indirizzi IP. Ogni singola attività sospetta, se ignorata, può portare a un attacco hacker dalle conseguenze molto pesanti.
Ecommerce Security: Test. Test. Test.
Non basta assicurarsi la protezione mantenendo sempre aggiornati i sistemi di sicurezza e monitorando le attività svolte sul sito ecommerce, è anche necessario effettuare test su test, innumerevoli test se necessario, per essere certi che non ci sia possibilità di infiltrazioni e per individuare le vulnerabilità. Questo perché, dopotutto, i cattivi non riposano mai, perciò nemmeno tu dovresti.
Ecommerce Security: Swascan
Swascan si propone come partner ideale per le attività di ecommerce security grazie a:
- Cybersecurity Service Attraverso consulenze specializzate ed altamente professionali in ambito sicurezza informatica, Swascan permette di raggiungere l’obiettivo di una corretta gestione di rischio, di sicurezza e di compliance con le normative vigenti.
- La piattaforma di Cybersecurity di Swascan permette di gestire la sicurezza dei tuoi asset tecnlogici aziendali grazie ai suoi servizi di Vulnerability Assessement e Network Scan che permettono di identificare, analizzare e risolvere le problematiche di sicurezza e le vulnerabilità.
Registrati e accedi al free trial dei servizi cyber di Swascan.