Truffe online sotto l’albero: un regalo indesiderato per tutti

Quello dello shopping natalizio è un periodo particolarmente produttivo per i cyber criminali, che attuano truffe di ogni genere per approfittare delle spese online. Ecco alcune indicazioni per non farsi raggirare.

Black Friday, Cyber Monday e la stagione dello shopping natalizio condividono un denominatore comune: l'intensa attività di compravendita online. Purtroppo, durante questi periodi, si intensifica anche l'azione dei criminali informatici, pronti a compiere qualsiasi azione per rubare dati e perpetrare truffe.

Ad esempio, possono inondare le caselle di posta elettronica dei consumatori con email di phishing, inviare messaggi ai dispositivi mobili contenenti link dannosi camuffati con i nomi di rivenditori, società di ecommerce o produttori. Un’altra attività tipica è l’invio di offerte incredibili attraverso annunci falsi, facilmente accessibili con un semplice clic su un link, richiedendo il numero della carta di credito. C’è poi il grande classico della richiesta di credenziali su siti web che sembrano legittimi, spesso indicati come sicuri dal lucchetto nell'URL, creando l'illusione di essere crittografati e protetti.

Tuttavia non sono da prendere sottogamba le email o i messaggi da parte dei servizi di consegna, che includono link per il tracciamento dell’ordine o chiedono informazioni per la consegna, così come le pubblicità di prodotti "imperdibili" esauriti ovunque, ma straordinariamente disponibili su un unico sito web e per un periodo limitato, a un prezzo incredibilmente vantaggioso.

Se lavorate nel settore SecOps, in quello IT o se occupate altri ruoli con responsabilità nell’ambito della sicurezza aziendale e organizzativa, probabilmente leggendo queste righe penserete che questi siano solo problemi del consumatore. Tuttavia non è così: basta che un dipendente o un utente apra un'email o un messaggio di phishing apparentemente autentico e faccia clic su un link per diffondere in azienda un ransomware, un malware o altre gravi minacce che mettono in pericolo l’organizzazione, la rete, le applicazioni e i dati.

Ecco alcuni suggerimenti pratici per educare e proteggere dipendenti, utenti e l'intera organizzazione da attacchi che potrebbero sfruttare l'effervescenza delle giornate di shopping intensivo:

Ricordate ai dipendenti e agli utenti che i loro dispositivi di lavoro non devono essere utilizzati per attività personali, soprattutto per gli acquisti online;
Organizzate corsi di aggiornamento sul phishing in concomitanza con l’imminente shopping natalizio. Ricordate a dipendenti e utenti di non aprire email o messaggi personali inaspettati. Né di fare clic sui link contenuti in qualsiasi email o testo: l'accesso diretto all'URL e al sito web aziendale è sempre più sicuro;
Sottolineate che, anche se un sito web, un messaggio o un annuncio sembrano autentici e crittografati - indicati dal piccolo lucchetto nell'URL - potrebbero comunque condurre a un sito di phishing. Gli utenti non dovrebbero mai fornire credenziali, inclusi dati di accesso o informazioni personali e finanziarie attraverso tali siti. Anche in questo caso, si dovrebbe accedere direttamente all'URL e al sito web dell'azienda di origine;
Una email, un messaggio o un annuncio che promuove un'offerta troppo bella per essere vera, probabilmente è una trappola. Lo stesso vale per gli articoli “esauriti” su qualsiasi sito web ma disponibili - e solo per un periodo limitato - da un'unica fonte.
Se i dipendenti e gli utenti ricevono un'email o un messaggio su una consegna imminente che include un link per il tracciamento, segnala smarrimenti o richiede dati aggiuntivi, è importante non cliccare sul link ma controllare lo stato della consegna direttamente alla pagina web del fornitore;

Purtroppo, questi promemoria e avvertimenti potrebbero non essere sufficienti. Per questo vale sempre la pena predisporre ulteriori livelli di sicurezza, soprattutto per difendere ciò che conta di più: le applicazioni aziendali, le API e l'infrastruttura sottostante. Le organizzazioni dovrebbero anche prendere in considerazione misure di difesa contro i bot, in grado di proteggere le applicazioni web e mobili e le API da attacchi automatizzati, che possono rapidamente evolversi fino a emulare in modo avanzato il comportamento umano.

Jay Kelley è Senior Product Marketing Manager - BIG-IP Security di F5