L’e-commerce è uno dei settori del nuovo Mondo Digital in forte crescita. Negli ultimi anni ha avuto un incremento delle vendite del 246,15%: da 1,3 trilioni di dollari nel 2014 si stima che l’e-commerce raggiungerà un valore di 4,5 trilioni di dollari nel 2021. Numeri  analizzati, in maniera molto attenta, anche dai Criminal Hacker come dimostra il fatto che negli ultimi mesi aziende blasonate hanno subìto un Data Breach dei loro e-commerce, per esempio:

  • Adidas
  • Fortnum and Mason
  • Macy’s
  • Dixons Carphone
  • Malley’s Chocolate
  • Panera Bread
  • Under Armour
  • Lord & Taylor
  • Saks Fifth Avenue
  • Best Buy
  • Di seguito analizziamo alcuni dei Data Breach più significativi.

Adidas Data Breach – Dopo la notizia dell’imponente Data Breach che ha coinvolto Exactis, si parla di circa 340 milioni di dati, un’altra vittima illustre è proprio Adidas. A giugno, il noto brand ha subito una violazione di sicurezza del proprio e-commerce del sito americano. Stiamo parlando di milioni di dati di clienti compromessi.

Macy’s Data Breach – A giugno è stata Macy’s ad essere vittima di un Data Breach. Macy’s è una catena della grande distribuzione statunitense fondata nel 1858. Molti ricorderanno il film “Il miracolo della 34ª strada”, il protagonista veniva assunto come Babbo Natale proprio dai magazzini Macy’s. I Criminal Hacker hanno avuto accesso ai sistemi di Macy’s compromettendo la confidenzialità dei dati dei propri utenti. Tra questi dati, anche quelli relativi alle carte di credito. La violazione è stata identificata dalla struttura interna dell’ecommerce che ha rilevato attività sospette nelle transazioni. Si suppone che i Criminal Hacker siano riusciti nel loro intento attraverso account compromessi da applicazioni terze.

Fortum and Mason Data Breach – A luglio Fortnum And Mason è stato Hackerato e 23.000 dati dei clienti sono stati violati. Fortnum And Mason è un grande magazzino inglese di lusso con molte filiali in diversi stati. I Criminal Hacker hanno utilizzato come punto di accesso una applicazione terza. Nello specifico, l’e-commerce aveva un modulo di sondaggio della Typeform che, guarda caso, era stato hackerato qualche settimana prima. Typeform è una società che fornisce un software per effettuare sondaggi online.

Dixons Carphon Data Breach – Dixons Carphone Warehouse è un nome importante nel settore dei prodotti elettronici in Inghilterra. A giugno ha subito un grave Data Breach che ha coinvolto circa 6 milioni di dati, tra i quali quelli relativi alle carte di credito. E’ il secondo Data Breach che Dixons Carphone Warehouse subisce in meno di 3 anni.

Malley’s Chocolate Data Breach – Malley’s è una famosa compagnia di cioccolato dell’Ohio che ha negozi al dettaglio e un e-commerce molto attivo.  A maggio ha subìto una violazione dei dati che ha coinvolto circa 3.500 utenti. Il Data Breach è stato individuato dall’azienda grazie alle segnalazioni degli utenti che avevano identificato attività fraudolente sulle loro carte di credito. I dati compromessi erano: i nomi degli utenti, le credenziali di accesso, le carte di credito, gli indirizzi fisici e gli indirizzi email.

e-commerce: tanti dati invitanti, poche misure di sicurezza

I volumi economici in gioco sono estremamente interessanti per qualsiasi Criminal Hacker. Perché? Molto semplice, tanti utenti con tante informazioni, tante transazioni, tante carte di credito… tanto di tanto rispetto al poco delle misure di sicurezza e delle Cybersecurity best practise che buona parte dei portali di e-commerce adottano o peggio non stanno adottando.

Ci sono sicuramente target che hanno maggiori informazioni e molto probabilmente i dati disponibili sono di qualità migliore e più interessanti come nelle Banche. I Criminal hacker sono di fatto imprenditori e come tali, nel dover scegliere un target, l’approccio adottato è sempre in termini di costo/beneficio. Un normale portale di e-commerce non potrà mai permettersi investimenti in security a livello di una banca. Proprio per questo motivo i portali di e-commerce sono uno dei target preferiti. Questa affermazione è stata anche dimostrata dalla ricerca di Trustwave.

Il settore dell’e-commerce è stato il principale obiettivo di attacco informatico nel 2017 pari al 16,7% seguito dal settore finance (13,1%) e dal travel/hospitality (11,9%).
Positive Technologies ha effettuato una analisi dei siti web e applicazioni web. Il risultato è sconfortante ma al tempo stesso estremamente preoccupante. Il 100% dei target analizzati aveva almeno 1 vulnerabilità nota e il 70% aveva una vulnerabilità nota con livello di criticità alto.
Per intenderci, tutti i portali sono vulnerabili e non è necessaria alcuna competenza tecnica specifica. È sufficiente cercare sul web il relativo Exploit che sfrutta la vulnerabilità (sono sempre disponibili dopo un paio di giorni dalla pubblicazione della criticità) e lanciarla contro i vari target.  Ed ecco che i cyber-attack diventano sempre più simili ad art-attack

e-commerce cybercrime: le tecniche più usate

Chi non ricorda la trasmissione TV per ragazzi Art-Attack? Il protagonista Giovanni Muciaccia elencava gli oggetti e disposizione e spiegava quale opera d’arte fare concludendo con “Fatto?”. Oggi la maggior parte degli attacchi informatici adotta lo stesso approccio.
Non stiamo ovviamente parlando dei cyber-attack legati al Cyber warfare, Cyber espionage o Cyber-Nation ma dei classici e sempre presenti attacchi informatici che hanno come obiettivo il tradizionale, semplice e ovvio “scopo di lucro diretto”.

Gli scopi principali degli attacchi informatici ai portali di e-commerce sono:

  • Furto di dati (email e credenziali)
  • Furto dei dati relativi alle carte di credito
  • Frode con carte di credito

Come abbiamo indicato, non è necessaria una competenza tecnica elevata per effettuare questa tipologia di attacchi informatici. Scopriamo quali sono le modalità e tecniche più usate.

1 – Dark Web
Nel dark web sono presenti una serie innumerevole di e-commerce. Stiamo parlando dei RDP SHOP. In questi shop online hai a disposizione qualsiasi cosa. Un Digital Bazar con in vendita interi data base di dati oggetto di Data Breach, carte di credito con tutti i dati associati, oppure credenziali di accesso admin ad alcuni sistemi. Se non trovi quello che stai cercando, nessun problema, puoi ingaggiare un professionista per fare il lavoro. Ogni dato ha un suo valore e come in borsa cambia in base al periodo. Per fare un esempio, nelle settimane scorse erano disponibili le credenziali di accesso remoto ad un server di un aeroporto internazionale a soli 10 dollari.

2 – Exploit o Exploit kit 
Quando viene scoperta una vulnerabilità, nel giro di qualche giorno viene pubblicato anche il relativo Exploit. Per intenderci, è sufficiente identificare il target che ha la vulnerabilità in questione e si procede con lanciare il relativo exploit.  L’attacco è completato, anzi Fatto!
Gli Exploit Kit non sono altro che una collezione di Exploit, ovviamente sono aggiornati e customizzabili in base all’esigenza direttamente nel dark web.
I criminal hacker confidano nel fatto che non sempre i target hanno una corretta gestione in termini di Vulnerability Management e che non sempre sono effettuati gli update del sistema.
Per intenderci, con una semplice attività di network scan della rete, identifico i target che hanno una specifica vulnerabilità e una volta identificati e selezionati, lancio l’Exploit o l’Exploit Kit.
Lo sanno bene le piattaforme di Woocommerce che a giugno sono state trovate vulnerabili ad attacchi di cross-site scripting (XSS) e SQL Injection. In realtà la vulnerabilità era riferita ad alcuni plugin di una terza parte. Questi plugin avevano lo scopo di migliorare le performance della piattaforma Woocommerce. La criticità è rientrata ma in quel mese ci sono state diverse attività di scansione delle reti unitamente a diversi attacchi mirati.

3 – Phishing
È sicuramente l’evergreen in assoluto. Una tecnica di cyber-attack che si basa essenzialmente su un approccio di social engineering. Lo studio Verizon Data Breach 2018 rivela che il phishing rappresenta il 93% delle violazioni. È di fatto la tecnica e l’approccio più utilizzato con il ransomware che continua ad essere il protagonista assoluto anche per il 2018, con il 39% delle violazioni di sicurezza.

Cybercrime: un framework per proteggere l’e-commerce

Abbiamo analizzato le principali tecniche e modalità usate dai Criminal Hacker per violare un ecommerce allo scopo di rubare dati e/o effettuare frodi con le carte di credito.
È evidente che i rischi principali possono essere gestiti semplicemente con:

  • Formazione del personale
  • Gestione della Vulnerability Management del proprio ecommerce
  • Attenzione alle applicazioni (plugin e widget delle terze parti)

Abbiamo indicato in precedenza che lo studio di Positive Technologies ha rilevato che il 70% dei portali ha almeno una vulnerabilità di alto livello. Questo significa che solo la corretta gestione delle vulnerabilità attraverso una semplice ma costante e periodica azione di Vulnerability Assessment e Network Scan dei propri asset permette di ridurre almeno del 70% il rischio di violazione.

A parte questa considerazione elenchiamo di seguito la struttura dell’Ecommerce Cybersecurity Framework:

  • Vulnerability Scan periodici.
  • Crittografia SSL/TLS su tutte le pagine del sito.
  • Vulnerability e Patch Management
  • Policy Password efficaci
  • Definire una Policy e procedure per i privilegi di accesso
  • Aderire al PCI (Payment Card Industry).
  • Aggiornare periodicamente temi e plugin
  • Dotarsi di almeno un Web Application Firewall (WAF)
  • Adottare i Captcha
  • Adottare una CDN (Content Delivery Network).
  • Scegliere servizi di Hosting e supporto adeguati
  • Effettuare a cadenza regolare i backup
  • Adottare un sistema diLog Management
  • Predisporre le procedure e gli strumenti di Incident Handling e Disaster Recovery

A questa lista aggiungo due punti degni di attenzione.
La prima, tutte le piattaforme hanno il naming Url per la login di amministratore di default. È consigliabile cambiarla.
La seconda è testare, testare testare… Fatto?

Il settore dell’e-commerce è stato il principale obiettivo di attacco informatico nel 2017 pari al 16,7% seguito dal settore finance (13,1%) e dal travel/hospitality (11,9%)

© RIPRODUZIONE RISERVATA