CON L’AIUTO DI F-SECURE, IN QUESTO PODCAST SCOPRIAMO PERCHÉ I TUOI DATI, SOPRATTUTTO A NATALE, SONO PIÙ ESPOSTI AI FURTI.
E CHE COSA DOVREBBERO FARE LE AZIENDE CHE SI OCCUPANO DI RETAIL PER PROTEGGERLI 

Avete presente quel periodo dell’anno in cui si compra di tutto? Sì, lo avete presente: è il Natale. O meglio, sono le settimane che lo precedono e durante le quali si tiene la frenetica corsa ai regali. Chi lavora nel settore retail si frega le mani, e giustamente: è il momento migliore per gli affari. Ma è anche il momento migliore per sferrare un tipo di attacco particolarmente popolare tra i criminali informatici: quello ai POS. 

Cosa sia un POS, lo sanno tutti (per amore di cultura generale, precisiamo che è l’acronimo di Point of Sales), ma non tutti si fermano a pensare che un sistema POS è un serbatoio di dati sensibilissimi: numeri di carta e codice PIN dei clienti. Ora, lo sono sempre quel tipo di serbatoio, e non solo a Natale. Ma quel periodo è particolarmente caldo per il numero di transazioni e perché gli acquirenti, travolti dallo shopping compulsivo, in mezzo a decine e decine di acquisti potrebbero non capire che qualcuno sta utilizzando le loro carte. 

Naturalmente è successo, e in grande scala: come riportato dal Deloitte Global Cyber ​​Executive Briefing, un importante punto vendita ha subito un attacco ai propri sistemi POS tramite un malware che ha fatto davvero un gran danno. Infatti, non solo ha rubato i PIN e le informazioni di tutte le carte utilizzate su una macchina infetta, ma si è diffuso anche su altre macchine della stessa azienda, infettando milioni di altri sistemi POS e rubando una quantità pazzesca di dati per rivenderli ad altri criminali.

Retail: gli attacchi più comuni

La cosa sorprendente è che gli attacchi ai POS non sono i più comuni contro le società che si occupano di retail. Secondo il Data Breach Investigations Report pubblicato da Verizon nel 2019, gli attacchi più praticati sono quelli contro le applicazioni web. Gli aggressori puntano a installare un codice dannoso dentro l’applicazione aziendale di pagamento online; prima, ovviamente, fanno uno screening sulla rete per intercettare vulnerabilità note e le aziende che le hanno: una volta che le hanno trovate, entrano nel sistema e installano il codice. Tutte le informazioni sulle carte di credito vengono raccolte e vendute ad altri criminali. 

Ci sono veri e propri gruppi, uniti tra di loro in sindacato, che agiscono così. Magecart è uno dei più noti perché non punta solo ai sistemi di pagamento ma alla supply chain. IN questo modo, colpisce le aziende che forniscono codice adl altri siti Web: corrompendo quel codice accede a tutti i siti che lo utilizzano.

A riguardo, va aggiunto che i dati della carta non sono l’unica cosa che vale la pena rubare: molto appetibili sono anche i punti o le informazioni personali dei programmi fedeltà.

Gli attacchi di altro tipo al retail

Un’altra minaccia rilevante per le aziende retail è di tipo interno. Per averne un’idea, proviamo a immaginare tutti i negozi e le strutture di distribuzione in una particolare società di vendita al dettaglio, e tutte le persone che vi lavorano. Aggiungiamo i dipendenti stagionali e le terze parti che gestiscono alcuni aspetti dei processi aziendali, e capiamo che sono tantissime. 

Ciò rende facile, in modo quasi ridicolo, un attacco interno; per esempio, un dipendente potrebbe copiare i dati sensibili dei clienti su un’unità flash e uscire dalla porta con il malloppo in tasca. E’ successo anche questo: sempre Deloitte ci informa che un importante punto vendita ha perso 8 milioni di dati in diversi anni perché un dipendente li ha copiati su un dispositivo portatile, e da casa li vendeva ai criminali. 

E poi, prima abbiamo parlato di applicazioni web: rimaniamo lì, ma parliamo dei siti. Se il sito dell’azienda viene oscurato e diventa irraggiungibile, si perdono vendite e si crea frustrazione tra i clienti. Se poi succede in periodi come quello del Natale, è davvero un dramma. 

Nell’attacco ai siti, un tipo molto utilizzato è quello che i tecnici chiamano Distributed Denial of Service. Si parla di vendita al dettaglio, e si sovraccarica una piattaforma di e-commerce con falsi ordini online, richieste di assistenza ai clienti e con tutto un traffico creato ad hoc per portare al collasso. Un altro attacco comune è il classico sequestro a scopo di estorsione: installi un ransomware sul sistema per crittografare i dati e poi chiedi un riscatto per liberarli. 

Le conseguenze di un data breach che segue ad attacchi come quelli che abbiamo appena visto sono gravi, e lo diventano ancor di più se guardiamo alla normativa di settore, cioè a quel GDPR – il nuovo regolamento generale sulla protezione dei dati nell’Unione europea – che consente alle autorità comunitarie di imporre multe fino al 4% del fatturato globale annuo di una società. Questo spiega anche perché i dati personali siano considerati come il vero “petrolio” del XXI secolo. 

E poi nel podcast scoprirai…
… come si possono prevenire danni di quel tipo, e le soluzioni che F-Secure predispone per le aziende retail.
Buon ascolto! 

APPROFONDIMENTI