A cura di Paolo Arcagni, Sr. Manager, Solution Engineering di F5 – Italy & Iberia

Quest’anno lo shopping online si rivelerà più strategico che mai per molte realtà del mercato, con l’obiettivo di cercare di colmare o arginare le perdite dell’anno, sfruttando sempre di più tutti i canali e le modalità disponibili. In questo contesto, una delle principali sfide che i proprietari dei siti web e dei canali di e-commerce dovranno affrontare sarà riuscire a identificare i bot, strumenti software sempre più diffusi che, agli occhi di un web server, si presentano semplicemente come una persona qualunque che sta cercando di acquistare un articolo.

Mai come nell’ultimo anno è apparso evidente come l’automazione digitale stia avendo sul Web lo stesso tipo di impatto che l’automazione meccanica ha esercitato sulle linee di produzione della fabbrica nei primi anni del 1900. Oggi, infatti, l’automazione è essenziale per garantire un time-to-market che deve essere sempre più rapido, velocizzare tutti i processi, abilitare rapidamente i cambiamenti e poter gestire e governare un patrimonio di dati sempre in crescita. Ogni organizzazione cerca di trarre vantaggio da questa crescente automazione per generare nuove opportunità, sia le aziende sia i criminali informatici ne fanno un utilizzo sempre più ampio.

Attualmente si ipotizza, infatti, che il 18% del traffico sui siti di vendita al dettaglio / e-commerce sia generato da BOT. Spesso si tratta di bot avanzati, che sono in grado di abbattere le difese di base come il CAPTCHA attraverso l’utilizzo della tecnologia o del semplice potere dell’uomo mediante lo sfruttamento delle cosiddette “clickfarm”, che impiegano centinaia di singoli lavoratori che risolvono il CAPTCHA per conto del bot. Man mano che le capacità dei bot migliorano, anche le abilità richieste per usarli diminuiscono e oggi chiunque può trovare facilmente un bot ed essere operativo in pochi minuti, imparando ad usare questo tipo di tecnologia semplicemente guardando i video tutorial sull’argomento, liberamente disponibili su YouTube.

In realtà possiamo individuare dei segnali rivelatori in grado di mostrarci quando è un bot a generare traffico; esistono soluzioni in grado di sfruttare questi segnali per identificare e bloccare i bot, ma purtroppo non sono così diffuse come dovrebbero. In molti casi, infatti, sembra che le aziende non si preoccupino dei BOT o che non li ritengano importanti perché non vanno a colpire gli introiti nel breve termine: quello che non è chiaro, però, è quanto la reputazione del brand possa essere danneggiata a fronte delle continue lamentele di clienti leciti che non sono in grado di acquistare nuovi prodotti già dopo pochissimi minuti dalla messa in vendita.

Quest’anno sarà ancora più importante che i consumatori e i rivenditori affrontino la stagione delle feste con la giusta preparazione.

Una delle tattiche di attacco chiave a cui prestare attenzione è il formjacking, ossia la tecnica che permette di appropriarsi dei dati a partire da falsi moduli online, inviandoli poi ad una posizione controllata da un utente malintenzionato. Su questo fronte è indispensabile che i fornitori di servizi WEB e di e-commerce in outsourcing prendano seri provvedimenti, dal momento che gli attaccanti si concentreranno sempre di più su questi soggetti, sapendo di avere a disposizione un’enorme pool di potenziali vittime, spesso appartenenti a settori commerciali diversi.

Le regole per uno shopping online più sicuro

Anche il phishing è una tecnica che continua ad essere più che fruttuosa per gli hacker, che continueranno a farne ampio uso, grazie soprattutto alla sua semplicità ed efficacia: gli aggressori non devono preoccuparsi di hackerare un firewall, trovare un exploit zero-day o decifrare la crittografia. La parte più difficile è ideare un messaggio di posta elettronica che sia convincente per invogliare le persone a fare clic su un sito fake dal quale avviare le proprie attività criminali.

I consigli che mi sento di dare a chi si sta apprestando a effettuare acquisti online in questi giorni sono pochi, quattro, semplici ma fondamentali:

  1. Evitare di fare acquisti utilizzando direttamente i motori di ricerca ma cercare sempre di digitare manualmente in modo preciso l’indirizzo del sito affidabile che si desidera visitare.
  2. Prestare la massima attenzione a eventuali errori di testo o formattazione, che potrebbero essere indicatori rapidi del fatto che qualcosa non funziona.
  3. Non farsi trasportare da un eccessivo senso di sicurezza e fiducia magari in un marchio che amiamo, perché i phisher sfruttano molto questa predisposizione e stanno intensificando fortemente i propri sforzi per rendere i siti fraudolenti il ​​più autentici possibile. Come evidenzia il report Phishing and Fraud di F5 da inizio 2020 ad oggi, il 52% dei siti destinati ad azioni di phishing ha utilizzato nomi e identità di brand scelti con cura per i propri indirizzi web.
  4. Mettere sempre in dubbio e verificare subito quando una transazione non ti convince e pensare sempre due volte prima di cliccare su un link considerando, ad esempio, che spesso dietro ad e-mail convincenti in cui si chiedono informazioni personali o finanziarie si nasconde un phisher perché un brand di fiducia sicuramente non le chiederebbe.

È indubbio che il 2020 abbia posto davanti a tutti noi una serie di sfide impreviste e che anche dal punto di vista della sicurezza e della privacy lo scenario si sia fatto più complicato rispetto al passato; proprio per questo, quest’anno, prestare un’attenzione maggiore al proprio shopping natalizio online potrebbe rivelarsi ancora più importante.

Argomenti #cybersecurity #e-commerce