Black Friday: attenzione alla giostra dell’acquisto online

Security Awareness
14 Novembre 2022
Black-Friday-2022

I tempi in cui per comprare qualcosa bisognava raggiungere fisicamente il negozio giusto sono ormai un lontano ricordo. Niente più pomeriggi trascorsi in macchina per arrivare in quel posto dove si trovava quel particolare prodotto, niente più ore trascorse a bighellonare tra le vetrine, ma neanche più chiacchiere con il venditore che ci consigliava il prodotto, il servizio o il viaggio giusto per noi. Lo shopping ormai è sempre più online.

Secondo quanto emerso dagli studi dell’Osservatorio eCommerce b2c della School of Management del Politecnico di Milano, infatti, la passione degli italiani per gli acquisti fatti in rete continua a crescere. Nel 2022, secondo i dati, ha raggiunto il valore di 48,1 miliardi di euro, con una crescita del 20% rispetto al 2021, quando gli acquisti avevano superato i 40 miliardi.

A registrare l’aumento maggiore sono gli acquisti online di servizi, che, con un tasso del +59%, hanno raggiunto i 14,9 miliardi, grazie soprattutto alla ripresa, nel periodo post-pandemia, del comparto del turismo.

Nello specifico Il tasso di crescita tra il 2021 e il 2022 per il turismo è stato del 74% (ha toccato gli 11,8 miliardi di euro), ma vanno bene anche il settore dei trasporti e quello degli eventi. Il tasso di penetrazione dell’online sui consumi totali per i prodotti nel 2022 aumenta solo di qualche decimo di punto percentuale, ma rimane fermo all’11%. Cresce il comparto dell’informatica e dell’arredamento, rimane stabile quello dell’editoria, del beauty e del food e decresce quello dell’abbigliamento. Grazie all’exploit dei viaggi, il tasso di penetrazione per i servizi passa dal 12% del 2021 all’attuale 14%.

Il Black Friday e lo shopping online

Ci sono poi periodi particolarmente favorevoli allo shopping online, tra questi senz’altro il mese di novembre che, da qualche anno, grazie al Black Friday, è il mese per eccellenza delle promozioni su tutti gli acquisti online. Una sorta di liberi tutti per comprare qualsiasi cosa su internet a prezzo scontato e che spinge all’acquisto anche i più reticenti. Il Cyber Monday, che quest’anno capita il 28 novembre, e che in teoria dovrebbe chiudere il periodo di promozioni, rappresenta il clou di questo periodo, ma focalizzato sui prodotti tecnologici.

Ma come sempre non è tutto rose e fiori e questa giostra di sconti e promozioni ha naturalmente il suo lato oscuro. Diciamo che è un appuntamento che gli hacker aspettano con ansia e per il quale non si fanno certo trovare impreparati.

Quale migliore occasione per loro, considerata la quantità di denaro che circola online e di dati sensibili che ogni giorno vengono inseriti dagli utenti, come ad esempio le credenziali di accesso agli account e i riferimenti delle carte di credito.

E’ facile così prevedere l’interesse dei criminali a registrare migliaia di domini somiglianti ai domini originali delle aziende, in modo da impersonificare i marketplace più famosi come Amazon e E-bay e rubare dati sensibili alle vittime.

Il Black Friday colpisce aziende di e-commerce e ignari clienti

Le tipologie di attacchi informatici all’e-commerce sono di vari tipi e si differenziano sia rispetto al target colpito, ovvero azienda o cliente, sia rispetto all’obiettivo del criminale.

Sul fronte delle aziende, l’hacker che prepara un attacco mirato a un sito e-commerce avrà come obiettivo quello di colpire l’infrastruttura IT della vittima, (sito web o server). Il sito può, ad esempio, essere deturpato (defacing) tramite un accesso non-autorizzato. Si tratta di una tipologia di attacco tra le più impattanti per l’immagine di un brand. Un’altra tipologia di attacco è il DDos, Distributed Denial of Service, che satura di richieste un sito e lo rende non-operativo, interrompendo il servizio e causando un grave danno sia economico sia di immagine.

Un altro attacco rivolto alle aziende è il cross-site scripting (XSS), ovvero un’iniezione di codice malevolo per sfrutta le vulnerabilità di siti web dinamici. Naturalmente a seguito di questi attacchi viene richiesto un riscatto per ripristinare la situazione precedente.

Sul fronte invece delle truffe ai clienti, tra le minacce più diffuse ci sono le frodi basate sul phishing e credential stuffing che hanno raggiunto una dimensione sempre più preoccupante. Le prime sono e-mail che impersonificano un brand e convincono l’utente a cui sono indirizzate a fornire le credenziali di accesso a un servizio. Imitando nell’aspetto e nella terminologia l’azienda, il criminale informatico ottiene preziose informazioni per accedere in modo indisturbato agli account e acquistare così a nome della vittima.

Il Credential stuffing invece si verifica quando i criminali informatici utilizzano software automatizzati per fare tentativi di accesso con dati precedentemente acquisiti da un altro set di dati trafugati. Se l’utente abitualmente ricicla sempre la medesima password, corre il rischio di avere il proprio account compromesso.

Basta un solo click

Quello che viene richiesto è sempre un click su un link fraudolento o l’inserimento di informazioni sensibili in un falso sito. Una volta caduti nella trappola l’account personale dell’utente viene utilizzato per scopi diversi. L’obiettivo è comunque sempre lo stesso: rubare informazioni sensibili e numeri di carte di credito o inoculare malware.

Come proteggersi?  Gli accorgimenti sono sempre gli stessi:

  • utilizzare password uniche e complesse per ogni account online,
  • prestare maggiore attenzione quando si usa il dispositivo mobile. Gli URL abbreviati, spesso utilizzati perché molto comodi da mobile, possono nascondere bridge a siti rischiosi. Se non è possibile rimandare una transazione, meglio disattivare il Wi-Fi e utilizzare i dati mobile; oppure attendere fino a quando non si naviga su una connessione sicura,
  • evitare di fare acquisti su siti web che sembrano sospetti o difettosi, non importa quanto siano vantaggiosi i saldi per il Black Friday,
  • non cliccare sui link sconosciuti ricevuti per e-mail o attraverso i social media,
  • utilizzare una carta prepagata per i pagamenti online. Maggiore è la disponibilità, più soldi possono essere rubati dai truffatori.
  • attivare e utilizzare sempre l’autenticazione a due fattori

Volendo fare un’estrema sintesi, la raccomandazione è sempre la stessa: mai distrarsi, mai lasciarsi prendere dall’euforia degli acquisti, mai perdere la concentrazione, mai cliccare in modo inconsulto.

Anche se in questo mese di novembre ci sentiamo un po’ come Alice nel paese delle meraviglie circondati di oggetti che ci piacciono e che sono così facilmente raggiungibili, ricordiamoci di fare attenzione a ogni gesto che facciamo online. Perché ogni click può essere fatale.

Articoli correlati