La protezione del tuo sito di e-commerce in 5 punti chiave

Sicurezza

È bello lavorare nell’e-commerce, dove la fiorente attività continua a crescere. Ma, purtroppo, dove circola denaro, i criminali sono sempre in agguato…

Il settore della vendita online è un obiettivo di prima scelta per i cyber criminali, con piccoli attacchi ma anche con casi molto più eclatanti, come l’attacco informatico a Magento. Uno studio recente ha infatti dimostrato che il 64% delle violazioni nel settore retail era dovuto a falle nell’ambiente di e-commerce.

Non sorprende, perché i siti di e-commerce sono molto remunerativi per i cyber criminali. In primo luogo, i siti di e-commerce assicurano il pagamento online dei clienti, cosa tutto sommato piuttosto allettante. In secondo luogo, ogni transazione può fornire diversi tipi di dati associati alle carte di credito, facilitando l’attuazione di frodi e truffe.

Non è quindi a rischio solo il tuo sito, ma anche la sicurezza economica dei tuoi clienti. Per questo motivo molti dicono “gestire un sito comporta delle responsabilità, gestire un sito di e-commerce ne comporta di più”.

Quando Google dichiara guerra al tuo business

Ovviamente non basta recitare il ruolo del prode cavaliere che protegge i propri clienti. Anche perché la maggior parte dei siti passa da un CMS che comprende servizi di CRM, di trattamento dei dati, di logistica e questo rappresenta un potenziale cavallo di Troia per la tua fortezza.

Un altro aspetto da non trascurare è la fiducia accordata al tuo sito. Nell’e-commerce la fiducia è il fattore chiave per il successo, è quindi ESSENZIALE guadagnarsela e, soprattutto, conservarla. Un recente studio ha dimostrato che il 40% degli acquirenti on line smetterebbe definitivamente di acquistare su un sito in caso di compromissione dei propri dati personali e bancari.

Ma qui non si parla solo della fiducia degli acquirenti, ma anche della fiducia di Google, da cui dipende la tua classificazione nelle famose SERP: il re dei motori di ricerca sorveglia costantemente i siti per rilevare eventuali malware o frodi mediante phishing. In caso di sospetti, il sito viene inserito nella temutissima “lista nera” che darà il colpo di grazia al tuo business. Quando Google fa calare la mannaia, non tardano a intervenire le aziende di sicurezza informatica che bloccano il sito, riducendo così il tuo traffico e la fiducia che ti veniva accordata.

Infine, in quanto gestore di un sito di e-commerce, esegui in genere le transazioni con carta di credito e sei soggetto agli standard PCI. Se vieni attaccato e viene messa in luce la tua non conformità, rischi di camminare su un terreno minato.

Esempio di un sito di e-commerce francese attaccato

Un sito di e-commerce di medie dimensioni è stato attaccato nel 2014. Per molti versi questo esempio è un caso da manuale e ha purtroppo causato notevoli perdite economiche all’azienda (circa 25.000 euro) oltre a una causa legale per non aver protetto il pagamento on line.

Da quel che si sa, il punto di partenza di questa storia è stata l’imprudenza di un dipendente che ha aperto una mail fraudolenta contenente un link ” cross-site scripting” (una falla di sicurezza web che consente di agire sul browser). Il criminale ha quindi potuto dirottare la sessione del dipendente e rubare tutti i suoi dati. Il suo account è quindi stato utilizzato per inserire un codice dannoso in un plugin di gestione del pagamento online sul sito. L’attacco non è stato scoperto per settimane e, nel frattempo, diverse migliaia di acquirenti hanno subito il furto dei dati personali. Tre settimane dopo, un robot Google ha segnalato un’attività sospetta e il sito è stato quindi inserito nella black list con una perdita di visitatori del 90%. Quando l’amministratore del sito si è accorto di quel che stava accadendo, ha deciso di mettere il sito offline per eseguire l’aggiornamento, cosa che non ha aiutato i nuovi amministratori a ristabilire la posizione originaria del sito nei ranghi di Google.

Quali lezioni se ne possono trarre?

1) Applicare le regole base

A ben guardare, non c’era bisogno di un mago per ingannare il dipendente del negozio online: una soluzione di sicurezza moderna con una buona protezione e-mail e antispam abbinata a una doppia autenticazione avrebbe reso più difficile dirottare l’account.

2) Scegliere una piattaforma di e-commerce protetta

In occasione del benchmarking, prima di scegliere la soluzione di e-commerce, valuta gli aspetti della sicurezza e presta particolare attenzione alla conformità PCI e alla certificazione SSL. Molti CMS offrono garanzie supplementari per evitare frodi e DoS (attacco per Denial of Service).

3) Collaborare strettamente con il provider del servizio di hosting

Il fatto che l’attacco non sia stato individuato prima di diverse settimane significa che non era stata implementata alcuna sorveglianza attiva. Nel mondo reale questo equivarrebbe a non dotare il proprio negozio di telecamera di sorveglianza. Accertati che il tuo provider del servizio di hosting sorvegli regolarmente i server, che non siano obiettivo di malware, virus o altri software nocivi.

4) Mantenere aggiornato il sistema 

Appena è disponibile una nuova patch, accertati di installarla immediatamente. Questo riguarda l’aggiornamento del server web (in genere eseguito dal provider del servizio di hosting), i tuoi software e plugin, oltre a Java, WordPress, Joomla, ZenCart ecc.

5) Rispettare le norme PCI

Quando si parla di sicurezza dei pagamenti on line, gli standard PCI rappresentano il massimo punto di riferimento e consentono da un lato di ridurre le vulnerabilità della sicurezza e dall’altro di limitare la portata dei danni in caso di attacchi (evitandoti tra l’altro di subire gli oneri legali e finanziari legati alla non conformità). Le norme PCI non sono mai acquisite, occorre quindi accertarsi regolarmente che il sito non presenti vulnerabilità.

 

Articolo tratto da “Sécuriser votre site marchand en 5 points clés” di Guillaume Ortega, PR Manager di F-Secure France.

 

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: