Acquisti pre-natalizi, come garantirsi una maggiore sicurezza sul web

Durante il periodo natalizio è più frequente da parte degli utenti il ricorso agli acquisti online e non sorprende quindi che si verifichi una crescita significativa degli attacchi informatici che sfruttano le offerte e le promozioni a tema natalizio.

Un esempio è dato dalle truffe di phishing, diventate più sofisticate e più difficili da individuare e fermare. Sfruttando i kit di phishing e gli strumenti di intelligenza artificiale, anche criminali informatici senza particolari competenze tecniche possono pianificare ed eseguire campagne di phishing mirate, compromettendo le aziende per accedere a dati sensibili a scopo di esfiltrazione o estorsione.

Il report Zscaler ThreatLabz 2023

Il report Zscaler ThreatLabz 2023 Phishing rivela che i criminali informatici che si servono del phishing sfruttano alcune tendenze, impersonando marchi popolari per trarre i consumatori in inganno. Un metodo di phishing assai diffuso consiste nell'utilizzare domini affidabili per sfruttare consumatori inconsapevoli, reindirizzandoli verso siti web di phishing. I malintenzionati fanno un uso non appropriato di popolari piattaforme di shopping online (come Walmart e Amazon) per acquisire le credenziali di accesso. I criminali informatici inviano carte regalo gratuite via email, pubblicano annunci o inviano falsi avvisi al servizio clienti, con l'intento di  manipolare gli utenti, inducendoli a cliccare sui link di phishing.

Oltre ai siti di shopping online più popolari, sono i siti delle banche e dei servizi finanziari a diventare di frequente oggetto di "attenzione" da parte dei criminali durante le festività natalizie. Alcuni attacchi avvengono tramite connessioni non sicure che utilizzano il protocollo HTTP e sono facili da individuare. Tuttavia, possono anche essere più elaborati e sofisticati e resi disponibili tramite una connessione HTTPS con un'interfaccia che sembra un sito bancario o di servizi finanziari legittimo.

I criminali informatici si sono dedicati negli ultimi anni anche allo SMiShing, ossia all'utilizzo SMS per trasmettere truffe, in genere con link a URL dannosi. Il mittente del messaggio pare un noto marchio di e-commerce o un sito noto di acquisti online. Un messaggio di testo con un link di tracciamento potrebbe dirottare un utente verso un sito dannoso che all’apparenza sembra legittimo. Zscaler ThreatLabz ha osservato come in passato questi siti web in apparenza non pericolosi attirino utenti ignari con sondaggi e indagini che promettono ricompense in denaro.

Indicazioni per gli utenti che fanno acquisti su dispositivi aziendali

Gli utenti che fanno acquisti online dovrebbero seguire alcune indicazioni per proteggere le informazioni personali e i dati aziendali:

● Non utilizzare dispositivi aziendali per fare acquisti e evitare così le minacce web. 

● Se un'offerta pubblicizzata sembra troppo vantaggiosa per essere vera, è probabile che non lo sia. Diffidare particolarmente di queste offerte strepitose e prestare molta attenzione alle pagine web e ai link associati.

● Scaricare le app dagli store ufficiali, come Google o Apple, perché in genere hanno modalità di controllo e supervisione più efficaci in caso di false app fraudolente.

● Verificare l'autenticità dell'URL o del sito web prima di accedervi. Diffidare dei link con errori di battitura

● Quando si naviga su siti web di shopping, e-commerce o finanziari, verificare la presenza di connessioni HTTPS/sicure. Tutti i venditori, i rivenditori e i portali di pagamento legittimi utilizzano connessioni HTTPS per le loro transazioni.

● Abilitare l'autenticazione a due fattori per fornire un ulteriore livello di sicurezza, soprattutto per gli account finanziari sensibili.

● Come regola generale, non cliccare su link o aprire documenti provenienti da sconosciuti che promettono offerte e opportunità interessanti.

● Assicurarsi sempre che il sistema operativo e il browser web siano aggiornati e che siano installate le ultime patch di sicurezza.

● Utilizzare un componente aggiuntivo del browser, come Adblock Plus, per bloccare il malvertising (i siti web compromessi/maligni bombardano i visitatori con annunci pop-up).

● Evitare di utilizzare connessioni Wi-Fi pubbliche o non protette per fare acquisti.

Alcune raccomandazioni per i team di sicurezza aziendali

● Utilizzare policy per il web che limitano l'accesso a domini sconosciuti, generici, appena registrati e recentemente attivati. Se esistono casi di utilizzo aziendale legittimi per questi siti web, sfruttare l'isolamento del browser per consentire un accesso sicuro.

● Attivare l'ispezione del traffico SSL/TLS per ottenere visibilità e la possibilità di applicare controlli di sicurezza avanzati, come il rilevamento del phishing, l'IPS e il sandboxing in linea, a tutto il traffico.

● Per le aziende di e-commerce, accertare che l’infrastruttura non venga sfruttata mantenendo tutti i sistemi aggiornati, utilizzando password sicure e l’autentificazione multifattore (MFA) e seguire le linee guida sulla conformità PCI.

(Fonte immagine: Data Manager online)