In crescita l’e-commerce. Ma, proporzionalmente, anche le truffe online nel settore. Tanto che per il 2023 Yarix, divisione Digital Security di Var Group, prevede che le frodi causeranno al settore perdite globali di oltre 48 miliardi di dollari, registrando un incremento del 20% rispetto alle stime del 2022. Il picco di reati nel periodo che va dal Black Friday alle feste natalizie.
I nuovi trend delle cyber-minacce
Truffe sui social media: a un registrato aumento della presenza di e-commerce sui maggiori social networks aumenta il numero di utenti che si affidano a indicatori di affidabilità come numero di connessioni di un account o periodo di attività dello stesso, indicatori facilmente emulabili da attori malevoli per la creazione di account fake;
Phishing: le attività di phishing hanno registrato una crescita nel 2022 e, secondo le stime per il 2023, il trend continuerà la propria ascesa. A livello globale, il phishing correlato all’e-commerce è aumentato del 170% con 7.523.412 attacchi nel secondo trimestre del 2022 rispetto ai soli 2.790.774 del primo trimestre del 2022.
Frodi nei pagamenti online: in seguito alla diffusione capillare di mobile device e un più ampio accesso ad Internet a livello globale, è più probabile che le persone utilizzino nuove tipologie di pagamento quali i digital wallets e la modalità Buy-Now-Pay-Later, più vulnerabili ad attacchi informatici.
Hackeraggio di mobile device: i dispositivi mobili si stanno evolvendo come un importante canale di opportunità per i criminali informatici poiché un numero sempre crescente di utenti preferisce utilizzare i propri dispositivi mobili su più fronti: comunicazioni aziendali e personali, acquisti online ed in generale operazioni bancarie.
Fake shops: online store che riproducono in maniera estremamente fedele gli store originali in grado di registrare e sottrarre dati finanziari nonché dati identificativi e di contatto.
A questi si aggiungono diversi canali su Telegram in cui vengono proposti articoli di brand noti a prezzi nettamente inferiori a quelli di mercato. Tali attività producono un danno alla reputazione del brand nonché al potenziale cliente che acquista incautamente articoli contraffatti.
Le più diffuse truffe nell’e-commerce
Credit Card Fraud. Si verifica quando un criminale informatico utilizza i dati della carta di credito rubati per acquistare prodotti su uno store di e-commerce. È possibile rilevare e frenare tali attività installando, ad esempio, sistemi quali gli Address Verification Service. Un’ulteriore forma di frode è quella in cui il truffatore ruba dati personali e identificativi di un utente per ottenere una nuova carta di credito.
Refund Fraud. La frode sui resi si verifica quando gli acquirenti cercano di ingannare i rivenditori durante tutto il processo di restituzione del prodotto. Tale frode può assumere diverse forme, come wardrobing (restituzione di oggetti che sono già stati utilizzati), receipt fraud (i truffatori utilizzano una ricevuta falsa per ottenere un rimborso su un presunto articolo difettoso o di cui si afferma non sia mai stato ricevuto), bricking (prevede la restituzione di un prodotto per un rimborso totale: l’articolo per cui si richiede il rimborso è stato privato delle componenti di maggior valore, che saranno poi rivendute dal criminale).
Si afferma l'”ingegneria sociale”
Si tratta di attività volte ad influenzare o manipolare un individuo per ottenere dati riservati e/o confidenziali. Sono esempi di ingegneria sociale il phishing (l’attaccante invia e-mail apparentemente provenienti da una fonte attendibile per ottenere informazioni confidenziali), il Vishing (l’attaccante utilizza una telefonata verso il target con lo scopo di raccogliere dati e ottenere le informazioni confidenziali), lo smishing (l’attaccante invia messaggi affinché il destinatario compia azioni quali visitare un sito web o cliccare su un link fornito per scaricare un allegato dal contenuto malevolo), il Fake Shop, l’e-Skimming (l’infezione delle pagine di pagamento di un sito web con software malevolo).
La frode dello swap sim
Non solo i messaggi (sms, email, whatsapp etc.) ma anche le notifiche delle applicazioni installate potrebbero essere compromesse o sostituite da malware. Le aziende di e-commerce e le banche, per contrastare il fenomeno delle frodi online, si sono mosse infatti creando sistemi di autenticazione a due o più fattori, che utilizzano servizi collegati direttamente alla sim del cliente. Ma i frodatori rispondono con lo Swap sim che consiste nel prendere possesso del numero di cellulare della vittima per accedere ai servizi e alle informazioni collegate alla sim, come, ad esempio, le push notification della banca o dell’e-commerce. Fra i “segnali” da tenere presenti, uno stop al funzionamento del cellulare, la mancata connessione alla rete e l’impossibilità di effettuare chiamate o mandare sms.
Nuovi approcci per truffe “innovative”
“Il progresso tecnologico porta con sé anche una maggiore diversificazione della tipologia di cyber-crimini, che spazia ora dalle più comuni frodi finanziarie ai più sofisticati casi di Man-in-the-Middle – commenta Mirko Gatto, Ceo di Yarix -. A intensificarsi anche la diffusione di “guide”, disponibili sul dark web, su come hackerare e-commerce, effettuare rimborsi o spedizioni fraudolente o mettere in campo attività di ingegneria sociale. Un fenomeno in crescita che necessita di un approccio nuovo che promuova non solo azioni legali, ma anche una cultura della sicurezza e dell’attenzione da parte di tutti gli attori coinvolti attorno al crescente fenomeno dell’e-commerce”.
“La cultura della sicurezza include anche il controllo continuo e costante dei propri movimenti bancari, non solo nel momento in cui sospettiamo che qualcosa non vada – aggiunge Gianluca Zanini, Ceo di Kleis, società della divisione Digital Security di Var Group -. I frodatori fanno affidamento proprio su questo tipo di leggerezza. Il punto di partenza deve essere sempre il senso critico”.