ibdi.it

Come proteggere il tuo sito E-Commerce dalle minacce informatiche nel 2020

Il crimine informatico è in aumento.

Un rapporto di Accenture ha rivelato che c’è stato un aumento del 67% delle violazioni della sicurezza negli ultimi cinque anni. E non è solo il numero di attacchi che sta crescendo; così anche la raffinatezza dei criminali informatici che prendono di mira le organizzazioni di tutto il mondo.

Le aziende di tutti i settori sono interessate, ma alcuni dei più vulnerabili agli attacchi sono i siti di e-commerce .

Se la tua attività di e-commerce non ha ancora subito un attacco informatico, dovresti considerarti uno dei più fortunati (anche se, come direbbe qualsiasi cyber professionista: non per molto ). È essenziale fare tutto il possibile per mitigare il rischio di violazione mettendo in atto solide difese prima di un attacco alla sicurezza.

In questo articolo, daremo un’occhiata a come proteggere il tuo sito di e-commerce.

Perché i criminali informatici stanno prendendo di mira i siti di e-commerce

Uno dei motivi principali per cui i criminali informatici si concentrano sui siti di e-commerce è semplicemente perché, sfortunatamente, sono obiettivi interessanti.

Ottenere l’accesso ai sistemi di un sito di e-commerce può fornire ai criminali una serie di dati preziosi. E non solo denaro, ma anche dettagli personali e finanziari dei clienti, che possono essere redditizi per i criminali commettendo frodi identificate o vendendo i dati sul web oscuro .

La darknet [o web scura ] è una rete, costruito sulla cima di Internet, che è volutamente nascosto, il che significa che è stato progettato specificamente per l’anonimato. A differenza del deep web, darknet è accessibile solo con strumenti e software speciali  : browser e altri protocolli oltre a collegamenti diretti o credenziali. Non puoi accedere a darknet semplicemente digitando un indirizzo web scuro nel tuo browser web. 

Inoltre, i siti di e-commerce vengono hackerati più spesso perché sono visti come obiettivi più facili, poiché esiste un numero crescente di webmaster che non correggono regolarmente i loro sistemi CMS sottostanti. I siti di e-commerce che funzionano su sistemi CMS come Magento , Joomla e OpenCart hanno maggiori probabilità di essere hackerati con successo quando eseguono una versione non aggiornata della piattaforma:

Molti siti Web hanno anche applicazioni Web e queste possono contenere vulnerabilità che gli aggressori possono sfruttare.

Contenuto correlato: 5 tendenze dell’e-commerce che non puoi ignorare nel 2020

Perché i siti di e-commerce sono più vulnerabili?

È facile per le aziende (in particolare il commercio elettronico) prendere l’abitudine di dare la priorità alla funzionalità del sito Web rispetto alla sicurezza informatica , e questo può inconsapevolmente lasciarli a rischio. Ma questo è tutt’altro che l’unico motivo per cui i siti Web di e-commerce sono vulnerabili a vari tipi di attacchi informatici.

Ecco alcuni altri motivi per cui i siti di e-commerce sono più vulnerabili:

  • Alcune attività di e-commerce sono operazioni relativamente piccole con pochi membri del personale e costi operativi relativamente bassi.
  • Le PMI che sono meno in grado di spendere ingenti somme di denaro per la sicurezza informatica sono naturalmente più vulnerabili agli attacchi. Senza il budget da spendere pesantemente per migliorare le difese, i siti possono essere più facilmente compromessi dai criminali informatici.
  • Le aziende di e-commerce dipendono spesso interamente dal loro sito Web, il che significa che se il sito viene violato e deve essere portato offline o se i dati chiave vengono persi, ciò può influire seriamente sulla capacità dell’azienda di continuare a operare.

E ci sono anche altri problemi in gioco qui, incluso l’impatto di problemi del settore come la carenza di competenze informatiche. È stato previsto che entro il 2022 ci saranno 1,8 milioni di posizioni di sicurezza informatica non occupate, il che indica che anche quelle aziende che sono disposte a investire nell’investimento necessario per mantenersi al sicuro potrebbero avere difficoltà ad assumere il personale necessario.

Dive Deeper: SEO per siti di e-commerce (principiante e intermedio)

Perché è necessario proteggere il tuo sito

La sicurezza informatica è un problema per le aziende di tutte le dimensioni e in tutti i settori e non è qualcosa che qualsiasi organizzazione può permettersi di ignorare più. Se gestisci un sito di e-commerce, la sicurezza del sito Web svolge un ruolo molto più importante della semplice protezione delle tue informazioni private: ha il potenziale di influenzare quasi ogni aspetto della tua attività.

In primo luogo, se sei vittima di un attacco informatico, può essere un grosso problema per la tua futura fiducia dei clienti :

  • L’87% dei clienti afferma che porterà la propria attività altrove se non si fida di un’azienda per la gestione responsabile dei propri dati.
  • L’88% afferma che la quantità di dati che condividono con un’azienda dipende dalla fiducia
  • Il 92% afferma che le aziende devono essere proattive sulla protezione dei dati

Questo è un grosso problema: soffrire di un attacco informatico potrebbe non solo perdere affari e denaro immediati, ma anche influire sulla capacità di trattenere o attrarre nuovi clienti. Forse non sorprende, quindi, apprendere che il 60% delle piccole aziende  fallisce nel giro di sei mesi dopo aver subito un attacco informatico.

E non è solo la fiducia dei clienti che può colpire quando un sito viene attaccato, ma può anche influire sulla fiducia degli azionisti e degli investitori . Se la tua azienda utilizza il supporto finanziario di altrove, ciò può essere gravemente minacciato da una violazione dei dati.

Peggio ancora, l’attacco può avere effetti a catena in molte aree del business che potresti non realizzare, come interrompere le tue operazioni e ridurre la disponibilità dei tuoi servizi. Può persino compromettere i tuoi sforzi SEO causando la blacklist di Google o modificando il contenuto delle tue pagine.

Anche gli effetti persistono. Potresti persino scoprire che dopo la fine dell’attacco informatico, stai ancora lottando con le conseguenze. Se il tuo sito di e-commerce non ha seguito importanti normative  come il Regolamento generale sulla protezione dei dati ( GDPR ) e successivamente ha subito un attacco informatico, potresti dover affrontare gravi sanzioni .

Ciò vale anche per il PCI DSS (Payment Card Industry Data Security Standard ), le regole che le aziende che elaborano i pagamenti con carta devono rispettare. Tutti i siti di e-commerce elaborano i pagamenti con carta, quindi è assolutamente necessario attuare controlli adeguati per mantenere la tua azienda conforme.

Dive Deeper: la guida in 4 passaggi di Marketer Email alla conformità GDPR

Tattiche comuni utilizzate in un attacco informatico

Esistono molte tattiche e tecniche diverse e il modo migliore per essere preparati è capire come vengono utilizzati dai criminali informatici.

Dive Deeper:  come la scarsa sicurezza del sito Web influisce negativamente sul posizionamento SEO

Phishing

Il phishing è una delle forme più comuni di criminalità informatica, ed è qualcosa di cui molte persone sono a conoscenza, anche se non lo conoscono per nome.

Il phishing può assumere molte forme, ma spesso è la pratica di un criminale informatico che tenta di ottenere una password o altre informazioni personali fingendo di essere una fonte attendibile :

Può comportare l’invio da parte del criminale di un’e-mail a un amministratore Web o a un membro dello staff; questa e-mail finge di provenire da una fonte legittima come una società partner, un fornitore di servizi e-mail o web o persino un CMS interno.

Queste e-mail ingannevoli sono progettate per assomigliare esattamente a un’e-mail autentica inviata da un’azienda legittima e spesso chiedono alle persone di fare clic su un collegamento in cui vengono inviate a una versione falsa di un sito familiare, in modo che i criminali possano ottenere nomi utente e password.

Ingegneria sociale

In termini di sicurezza informatica, l’ingegneria sociale si riferisce alla pratica di manipolazione dei membri del personale al fine di indurli a rinunciare alle informazioni. Secondo CSO :

L’ingegneria sociale è l’arte di sfruttare la psicologia umana, piuttosto che tecniche di hacking tecnico, per accedere a edifici, sistemi o dati. 

Ancora una volta, il social engineering può assumere molte forme e potrebbe essere qualcosa di semplice come qualcuno che chiama la tua azienda dichiarando di essere un cliente che deve apportare modifiche a un ordine.

In alternativa, il criminale potrebbe affermare di provenire da un servizio legittimo come Microsoft e sottolineare la necessità di autenticare o gestire un problema. L’obiettivo finale è che il criminale sia in grado di ottenere l’accesso a dati , informazioni o password senza che l’individuo si accorga che è stato commesso un crimine.

Se pensi di essere troppo intelligente o troppo esperto per cadere in queste truffe, leggi Cinque trucchi di ingegneria sociale e dipendenti di tattica per i quali continui .

Dive Deeper: 6 consigli per proteggere i tuoi dati dagli attacchi informatici come lavoratore remoto

Minacce interne

Le imprese di e-commerce devono anche essere consapevoli dei pericoli degli attacchi interni. Questo è un problema crescente nella sicurezza informatica: il Rapporto sulle indagini sulle violazioni dei dati del 2019 di Verizon ha rivelato che il 34% delle violazioni è stato causato da addetti ai lavori.

Nessuno vuole credere che il proprio personale possa agire in modo dannoso nei loro confronti, ma ciò accade e le aziende devono esserne consapevoli. Ciò può provenire da ex dipendenti scontenti o persino dipendenti attuali (quelli con accesso al sistema) che vedono l’opportunità di trarre profitto da attività criminali.

Iniezione di codice

È anche un problema comune che gli hacker criminali prendano di mira il tuo sito di e-commerce attraverso vulnerabilità nei programmi che utilizzi. Uno dei modi in cui possono raggiungere questo obiettivo è tramite l’ iniezione SQL :

Uno  SQL injection è una tecnica di iniezione di codice e di una tecnica SEO negativo nefasto che un hacker criminale può inviare per far cadere il vostro sito. L’autore dell’attacco ottiene l’accesso al back-end del database immettendo codici nel contenuto del database vulnerabile o corrotto tramite l’input della pagina Web (ad esempio un utente inserendo il proprio “nome utente” con un’istruzione SQL). È ancora una delle minacce più comuni perché è altamente efficace.

Questa iniezione di codice implica l’esecuzione di comandi dannosi al fine di ottenere informazioni dai database di backend , il che può essere un modo per gli hacker criminali di ottenere molte informazioni personali e dettagli della carta di credito pur essendo molto difficile da identificare.

Sovversione del software

I siti di e-commerce sono anche particolarmente vulnerabili alla sovversione del software, dove possono essere presi di mira attraverso la loro catena di approvvigionamento. Ciò si verifica quando i criminali informatici compromettono software e plug-in ampiamente utilizzati.

Uno dei più noti è l’ attacco Magecart che è riuscito a compromettere una sceneggiatura negli annunci pubblicati sui siti di e-commerce ed è stato in grado di colpire centinaia di siti contemporaneamente:

Le infezioni da MageCart si verificano quando gli aggressori compromettono un sito di e-commerce per iniettare JavaScript nelle pagine di pagamento o carrello. Questo script ruba quindi le informazioni relative alla carta di credito e all’indirizzo inserite in queste pagine e le invia a un server remoto affinché gli aggressori possano raccogliere.

Attacco DDoS

Gli attacchi DDoS sono un altro grosso problema:

Un attacco DDoS (Distributed Denial of Service) si verifica quando un attaccante, o attaccanti, tenta di rendere impossibile l’erogazione di un servizio. Ciò può essere ottenuto ostacolando l’accesso praticamente a qualsiasi cosa: server, dispositivi, servizi, reti, applicazioni e persino transazioni specifiche all’interno delle applicazioni.

Sono progettati per causare interruzioni  – dal piccolo inconveniente di un servizio interrotto a interi siti Web o crash aziendali  – e spesso sono programmati per coincidere con periodi di shopping intensi, rendendoli molto difficili da rilevare.

Suggerimenti per proteggere il tuo sito e-commerce

In realtà ci sono molte cose che la tua azienda può fare per proteggere le tue operazioni da queste minacce informatiche. Mentre alcuni possono sembrare complicati o tecnici, sono cose che il tuo webmaster dovrebbe essere in grado di sfruttare per difendere la tua organizzazione in modo più efficace dal crimine informatico. Alcuni passaggi pratici includono:

Monitorare i sistemi e le risorse

Se non lo sei già, inizia a monitorare i tuoi server Web, manualmente da un amministratore o utilizzando software automatizzato come SIEM  (Informazioni sulla sicurezza e Gestione degli eventi). Quando i server, i registri e il traffico web vengono monitorati, può aiutarti a identificare comportamenti sospetti o attività insolite prima che si trasformi in un attacco informatico completo.

Questi comportamenti sospetti potrebbero comportare problemi come connessioni non autorizzate o attività insolita dell’account. Se riesci a identificare i problemi all’inizio, avrai la possibilità di fermarli e mitigare il danno prima che si trasformino in qualcosa di più problematico.

Crittografa traffico web

È anche importante crittografare il tuo traffico web. Puoi farlo investendo in un SSL :

SSL è l’  acronimo di  Secure Sockets Layer  e, in breve, è la tecnologia standard per mantenere sicura una connessione Internet e salvaguardare tutti i dati sensibili che vengono inviati tra due sistemi, impedendo ai criminali di leggere e modificare qualsiasi informazione trasferita, compresi i potenziali dettagli personali.

HTTPS , che sta per  Hypertext Transfer Protocol Secure , è una versione più sicura di HTTP :

“Il problema con il normale protocollo HTTP è che le informazioni che fluiscono dal server al browser non sono crittografate, il che significa che possono essere facilmente rubate.

I protocolli HTTPS risolvono questo problema utilizzando un certificato SSL, che aiuta a creare una connessione crittografata sicura tra il server e il browser, proteggendo in tal modo le informazioni potenzialmente sensibili che vengono rubate mentre vengono trasferite tra il server e il browser. “

Oltre alla sicurezza del sito Web, il passaggio da HTTP a HTTPS è fondamentale perché Google segnala ogni sito come non sicuro a meno che non abbia una certificazione HTTPS. Nell’agosto 2014, Google ha annunciato che HTTPS è un segnale di classifica .

Test di penetrazione della Commissione

Uno dei metodi più efficaci per proteggere il tuo sito è sottoponendolo a un test di penetrazione :

Il test di penetrazione (test di penna) è il processo di valutazione di sistemi, reti e applicazioni informatiche per identificare e affrontare le vulnerabilità di sicurezza che potrebbero essere sfruttate dai criminali informatici.

Questi test esaminano il tuo sito Web e l’infrastruttura IT e controllano se sono vulnerabili alle tecniche e alle tattiche utilizzate dai criminali informatici. Le organizzazioni possono quindi utilizzare i risultati del test con penna per aiutarli a capire dove il loro sistema deve essere migliorato o aggiornato.

Prima di commissionare un test con penna, vale la pena eseguire una scansione di vulnerabilità per affrontare le vulnerabilità di base. Ciò consente a un test con penna di concentrarsi su vulnerabilità più profonde che gli strumenti di scansione automatizzata non sono in grado di rilevare.

Gestisci autorizzazioni utente

Un altro suggerimento di cui quasi tutte le aziende di e-commerce potrebbero beneficiare è l’importanza della gestione delle autorizzazioni degli utenti. Si potrebbe presumere che sia giusto dare a ogni membro dello staff pieno accesso al sistema in modo che possano facilmente andare avanti con il loro lavoro. Ma la verità è che la maggior parte delle persone non ha effettivamente bisogno del pieno accesso al sistema per svolgere il proprio lavoro.

Se ogni account ha accesso completo, questo significa che se un solo account utente viene violato, si possono permettere i criminali informatici in a qualsiasi dati che vogliono. Un esempio reale di questo è stato l’attacco informatico a Ticketfly: un account di un webmaster è stato violato e, poiché questo account ha avuto pieno accesso al sistema, i criminali sono stati in grado di rubare i dati di oltre 26 milioni di clienti .

Effettuare una formazione regolare del personale

Potrebbe sembrare semplice, ma quest’ultimo punto è qualcosa che trascura un numero enorme di organizzazioni di e-commerce:

È fondamentale fornire a tutti i dipendenti una formazione sulla sicurezza informatica di base.

Il tuo personale è una linea vitale di difesa contro le azioni dei criminali informatici e quando capiscono non solo i tipi di attacchi con cui vengono presi di mira, ma anche i passi standard che dovrebbero adottare per mantenere se stessi e l’azienda al sicuro, può fare una differenza enorme.

Non dare per scontato che una semplice sessione di allenamento alla prima assunzione sia sufficiente. Il crimine informatico è in continua evoluzione e cambiamento man mano che i criminali diventano più sofisticati. È importante tenere periodiche sessioni di addestramento di aggiornamento con materiale aggiornato per preparare la squadra.

Conclusione

Ogni azienda di e-commerce deve porre ulteriore enfasi sulla protezione del proprio sito. La crescente sofisticazione dei criminali informatici, nonché la disponibilità di strumenti e informazioni significa che le aziende di ogni dimensione possono essere vulnerabili agli attacchi e alle violazioni.

Se gestisci un sito di e-commerce, assicurati di adottare le misure di sicurezza appropriate e di investire nella formazione del personale per ridurre il rischio di un attacco.

Exit mobile version