Ora che è terminata un’altra stagione di shopping, è tempo di valutare le minacce informatiche più comuni che affliggono il settore retail. Le minacce comuni ai retailer includono attacchi POS, attacchi alle applicazioni web, minacce interne e attacchi contro i database di un retailer o altri sistemi interni.
Attacchi informatici ai POS contro le aziende retail
Gli attacchi ai POS (point-of-sale) sono particolarmente popolari tra i criminali informatici, poiché il sistema POS contiene alcuni dei dati più sensibili possibili: i numeri di carta e i PIN dei clienti dell’azienda.
In un caso esempio, un importante punto vendita ha subito un attacco malware ai suoi sistemi POS. Il malware non solo ha rubato le informazioni della carta di credito e i PIN per tutte le carte utilizzate su una macchina infetta, ma si è diffuso anche su altre macchine della stessa azienda. Nel tempo ha infettato con successo milioni di sistemi POS dell’azienda e ha rubato un’enorme quantità di informazioni sulla carta di credito per rivenderle ad altri criminali.
La stagione dello shopping natalizio è un momento comune in cui i criminali cercano di utilizzare i numeri di carta di credito rubati, perché i clienti spendono molti soldi e tendono ad avere molte cose in testa. Sopraffatti dallo shopping natalizio e da altri preparativi, potrebbero semplicemente non accorgersi immediatamente quando la loro carta viene utilizzata in modo improprio.
Attacchi ad applicazioni web contro le aziende retail
Secondo il Verizon 2019 Data Breach Investigations Report, gli attacchi POS Intrusion non sono più il tipo più comune di attacco per le società retail. Tale posizione è stata assunta da attacchi contro applicazioni web.
Gli aggressori cercheranno di violare l’applicazione di pagamento online di un’azienda, quindi installeranno un codice dannoso progettato per rubare i dati della carta di credito del cliente mentre li inseriscono. Le aziende che non riescono a prestare sufficiente attenzione alla sicurezza informatica hanno maggiori probabilità di essere prese di mira per questo tipo di attacco, poiché i criminali cercano attivamente sistemi vulnerabili. Dopo aver eseguito la scansione di Internet alla ricerca di vulnerabilità note nelle applicazioni Web, l’aggressore si concentrerà su qualsiasi azienda ritenuta vulnerabile, quindi utilizzerà la vulnerabilità per ottenere l’accesso al sistema dell’azienda e installare il codice. Le informazioni sulla carta di credito rubate verranno quindi vendute ad altri criminali.
Ci sono interi gruppi di criminali informatici dedicati a questo tipo di crimine, incluso il noto sindacato Magecart. Magecart è noto non solo per infettare direttamente i sistemi di pagamento, ma anche per infettare più siti contemporaneamente mettendo in scena un attacco alla catena di approvvigionamento. Un attacco alla supply chain colpisce le aziende che forniscono codice ad altri siti Web. Una volta che Magecart riesce a corrompere questo codice, può accedere a tutti i siti Web che utilizzano il codice infetto.
I dati della carta di credito del cliente non sono l’unico tipo di dati che vale la pena rubare. I punti o le informazioni personali dei programmi fedeltà dei clienti dovrebbero anche essere visti come potenziali obiettivi criminali secondo il Rapporto DBI di Verizon.
Minacce interne contro le aziende retail
Le minacce interne, come sempre, sono una minaccia comune per le società retail, soprattutto considerando l’alto turnover dei dipendenti e molteplici punti di vulnerabilità. Per avere un’idea della portata della minaccia, immagina tutti i negozi e le strutture di distribuzione in una particolare società di vendita al dettaglio, quindi immagina tutte le persone che lavorano in tutte quelle sedi. Ora aggiungi dipendenti stagionali e terze parti che gestiscono alcuni aspetti dei processi aziendali dell’azienda.
Un attacco interno è spesso ridicolmente semplice da eseguire. Ad esempio, un dipendente potrebbe copiare i dati sensibili dei clienti su un’unità flash e semplicemente uscire dalla porta con i dati in tasca. In un caso di insider threat descritto da Deloitte, un importante punto vendita ha perso 8 milioni di dati per un periodo di diversi anni a causa di un singolo dipendente che stava semplicemente copiandoli su un dispositivo portatile, portandoli a casa e vendendoli ai criminali online.
Attacchi ai siti web delle aziende retail
Per un’attività nel settore retail è sempre una grande preoccupazione subire un attacco informatico, soprattutto se l’attacco causa la disattivazione del sito web dell’azienda. Le vendite perse e i clienti frustrati sono ovviamente uno scenario da incubo per qualsiasi azienda. Tuttavia, questa preoccupazione diventa molto più grave per un’azienda di vendita al dettaglio soprattutto durante le vacanze.
Una strategia comune per gli aggressori è l’attacco di tipo Distributed Denial of Service. In un contesto di vendita al dettaglio, questo è un tentativo di sovraccaricare e distruggere una piattaforma di e-commerce con traffico di tutti i tipi, inclusi falsi ordini online e richieste di assistenza ai clienti.
Un altro attacco comune è l’installazione di ransomware sul sistema di un rivenditore al fine di crittografare i dati dell’azienda. L’attaccante può quindi richiedere un riscatto in cambio della decrittografia dei dati.
Alcuni criminali informatici useranno la posta elettronica per presentarsi come fornitore o socio commerciale dell’azienda al fine di inviare fatture fraudolente per prodotti o servizi inesistenti.
Le aziende con forti difese di sicurezza informatica possono essere ancora vulnerabili agli attacchi contro i loro fornitori, che possono avere difese più deboli o vulnerabilità senza patch.
Ai criminali informatici piace anche attaccare database aziendali contenenti dati potenzialmente preziosi per i clienti. In alcuni casi, le spie aziendali possono cercare di ottenere la proprietà intellettuale che potrebbe offrire a un concorrente un vantaggio prezioso sulla società interessata, come i piani di localizzazione di nuovi negozi.
Le conseguenze di un Data Breach
Le conseguenze di un attacco riuscito possono essere davvero elevate. Il regolamento generale sulla protezione dei dati dell’UE consente alle autorità dell’UE di imporre multe fino al 4% del fatturato globale annuo di una società o di 20 milioni di euro, a seconda di quale sia il più elevato. La severità di questo regolamento è accompagnata dalla portata del problema. Quando un’azienda perde i dati personali dei clienti in un attacco informatico, tali dati vengono spesso venduti online ai criminali che ovviamente intendono utilizzarli per il proprio profitto.
In un caso esaminato da Deloitte, gli aggressori hanno approfittato della scarsa sicurezza della rete wireless presso un rivenditore per intercettare i dati della carta di credito e violare il database dei clienti non crittografato dell’azienda. In questo caso, i cyber criminali hanno utilizzato una varietà di tecniche di attacco fino a quando non ne hanno trovato una funzionante, quindi hanno atteso all’interno della rete fino a quando non sono stati in grado di intercettare i dati necessari per accedere al database dell’azienda. La società interessata ha subito una grave perdita di reputazione e ha anche dovuto far fronte a perdite di vendite, multe e un accordo.
Frequenza dei cyber attacchi contro le aziende retail
Secondo una ricerca condotta da F-Secure, oltre i due terzi delle società di vendita al dettaglio (69,1%) hanno rilevato attacchi informatici contro i loro sistemi. Questa cifra dovrebbe essere sufficiente per convincere qualsiasi azienda retail a prendere sul serio la minaccia di attacchi informatici, ma il tasso di violazione tra le società di vendita al dettaglio negli Stati Uniti è aumentato di oltre il 100% tra il 2017 e il 2018 secondo un rapporto di Thales. Un rapporto di Retail CIO Outlook ha rilevato che quasi un terzo di tutte le attività di vendita al dettaglio ha subito perdite a causa di attacchi informatici negli ultimi anni.
Il DBI Report di Verizon del 2019 rileva 234 incidenti di violazioni nei confronti di società retail nel 2019, con 139 casi confermati di divulgazione di dati. Gli attacchi alle applicazioni Web e l’uso improprio dei privilegi erano le due principali categorie di attacco. L’81% degli attori della minaccia era esterno alle aziende interessate e la motivazione era finanziaria nel 97% di tutti i casi. Il 64% di tutti i dati compromessi era informazioni di pagamento.
Pensare alla protezione cyber
Le aziende che cercano di proteggersi dagli attacchi informatici dovrebbero attuare almeno le seguenti strategie:
- Monitorare i sistemi POS per monitorare eventuali violazioni
- Educare i dipendenti alla sicurezza informatica
- Testare i sistemi di posta elettronica aziendali alla ricerca di malware
- Crittografare tutti i dati essenziali
- Creare un backup dei dati essenziali
- Creare un piano di risposta in caso di violazione
Le società retail devono fare molta più attenzione a chi ha accesso ai sistemi aziendali. L’accesso dovrebbe essere limitato in base alla funzione lavorativa del dipendente o del consulente e dovrebbe essere sempre monitorato.
I criminali informatici non stanno più solo prendendo di mira i dati archiviati nel sistema di un’azienda, ma li stanno catturando quando vengono inseriti in un modulo di pagamento online. È consigliabile per i rivenditori di prendere in considerazione l’utilizzo del software di monitoraggio dell’integrità dei file sui propri siti di pagamento per aiutare a difendersi da questo tipo di attacco, mantenendo al contempo aggiornate tutte le patch.
La stessa ricerca di F-Secure mostra che oltre il 90% delle aziende retail afferma che i loro budget per la sicurezza informatica aumenteranno in futuro. Tuttavia, meno del 30% di tali società utilizza soluzioni di Network Intrusion Detection o di Advanced Threat Protection.
Tuttavia, “prevenire le violazioni dei dati” e “rilevare attacchi che potrebbero aver aggirato altre misure di sicurezza” sono identificati come le massime priorità dalla stragrande maggioranza delle società retail.
Tutto ciò suggerisce che uno dei passi più efficaci che una società retail potrebbe adottare per proteggersi dagli attacchi informatici sarebbe implementare una soluzione o un servizio EDR come F-Secure Rapid Detection & Response.
Per ulteriori approfondimenti sul tema, puoi richiedere la registrazione del webinar #FS4Retail, tenuto il 26 febbraio. Per richiederla scrivici a italy@f-secure.com
Categorie