Dal giorno del Black Friday si apre la stagione dello shopping natalizio online. Data la maggiore affluenza sui siti di acquisto online, sale di conseguenza anche il rischio di attacchi da parte di hacker, che solitamente cavalcano l’occasione data dai comportamenti di massa durante i trend periodici annuali (Natale, Pasqua, ricorrenze), per scatenare le campagne di malware e phishing mirate a catturare quante più persone possibile. Report recenti indicano che gli attacchi informatici ai siti di shopping online sono raddoppiati a partire dal 2016.
Le precauzioni per non cadere in trappola
Per questo motivo si ricorda a tutti di prestare la massima attenzione mentre si fa shopping online durante il periodo natalizio. Per citare un esempio pratico è stata resa nota dai ricercatori Check Point Software Technologies una vulnerabilità scoperta lo scorso 9 ottobre sul portale AliExpress e risolta l’11 ottobre, che avrebbe consentito ai cyber-criminali di colpire gli utenti del portale ecommerce inviando loro un link a una pagina web di AliExpress contenente del codice Javascript malevolo.
Il caso AliExpress
All’apertura della pagina, il codice veniva eseguito nel browser web dell’utente e quindi ignorava la protezione di AliExpress dagli attacchi di tipo cross-site scripting utilizzando una vulnerabilità di reindirizzamento aperto sul sito web. Teoricamente, i cyber-criminali avrebbero potuto far partire questo attacco attraverso una campagna di phishing via mail, sfruttando il normale customer journey del cliente di AliExpress, senza che questo avesse il sospetto che qualcosa di insolito o spiacevole stesse accadendo. Avrebbero potuto ad esempio far apparite il pop-up di un coupon con un’offerta sulla schermata iniziale – che girava sotto un sottodominio di proprietà AliExpress – chiedendo ai clienti di fornire dettagli della carta di credito per consentire un’esperienza di acquisto più agevole e più efficiente. Gli hacker, tuttavia, controllavano esclusivamente questa finestra pop-up con tutti i dati della carta di credito inseriti direttamente a loro non il sito di shopping.
Per conoscere gli aspetti tecnici della vulnerabilità è possibile consultare l’approfondimento disponibile sul blog di Check Point ed inoltre e’ stato reso disponibile un video su YouTube che mostra il funzionamento della vulnerabilità.
I consumatori devono essere consapevoli che dietro alcune imperdibili offerte potrebbe nascondersi un malintenzionato e devono prestare la massima attenzione durante le festività natalizie, per gli acquisti online in qualsiasi sito.
