Akamai (NASDAQ: AKAM) l’Intelligent Edge Platoform per la sicurezza e la delivery di esperienze digitali, ha pubblicato oggi il suo report State of the Internet / Security: Loyalty for Sale – Retail and Hospitality Fraud. Il rapporto descrive nel dettaglio l’attività criminale che ha colpito i settori retail, travel e hospitality, con attacchi di vario tipo e dimensione, nel periodo compreso tra luglio 2018 e giugno 2020. Nella versione integrale, il report mostra anche numerosi esempi di annunci fatti direttamente dai criminali sul dark web, in cui illustrano come riescono a guadagnare attraverso i loro attacchi e il corrispondente furto di dati.
Tra luglio 2018 e giugno 2020, Akamai ha osservato complessivamente oltre 100 miliardi di attacchi di credential stuffing. Nella categoria “commercio” – che comprende il commercio al dettaglio, i viaggi e l’industria alberghiera – sono stati registrati 63.828.642.449attacchi; oltre il 90% degli attacchi nella categoria commercio ha colpito il settore retail.
“I criminali non fanno i difficili; tutto ciò a cui riescono ad accedere può essere da loro utilizzato in qualsiasi modo“, ha commentato Steve Ragan, Security Researcher di Akamai e autore del report State of the Internet / Security. “Ecco perché il credential stuffing è diventato così popolare negli ultimi anni. Al giorno d’oggi, i nostri profili personali sui siti dei nostri retailer preferiti e i profili creati per entrare nei programmi fedeltà dei brand, contengono un’infinità di informazioni personali, e in alcuni casi, anche informazioni finanziarie. Tutti questi dati possono essere raccolti, venduti e scambiati o anche compilati per la creazione di profili completi che possono essere successivamente riutilizzati per reati come il furto di identità“.
Durante le restrizioni dovute al COVID-19, nel primo trimestre del 2020, i criminali informatici hanno approfittato della situazione e hanno fatto circolare liste di combinazioni di password, andando a colpire tutti i settori commerciali presenti nel rapporto. È stato proprio durante questo periodo che i criminali hanno iniziato a far circolare vecchie liste di credenziali nel tentativo di identificare nuovi account vulnerabili, portando a un significativo aumento sia del loro inventario che delle vendite legate ai dati rubati dai programmi fedeltà.
Il credential stuffing non è però l’unico modo con cui i criminali prendono di mira retail, travel e hospitality. Essi infatti prendono di mira le organizzazioni di questi settori alla fonte utilizzando attacchi SQL Injection (SQLi) e Local File Inclusion (LFI). Tra luglio 2018 e giugno 2020, Akamai ha osservato 4.375.711.860 attacchi web contro questi tre settori, che rappresentano il 41% del volume complessivo degli attacchi di tutti i settori. L’83% di questi attacchi web ha preso di mira il solo settore retail. Gli attacchi SQLi sono evidentemente i preferiti dai criminali, rappresentando poco meno del 79% del totale degli attacchi alle applicazioni web contro i settori retail, travel e hospitality.
L’economia globale si prepara ora alla stagione dello shopping natalizio e lo fa in un contesto che si trova radicalmente cambiato a causa della pandemia. I consumatori non resteranno in fila fuori dai negozi in attesa delle ultime offerte, come succedeva in passato, ma preferiranno effettuare il login, raccogliere i loro “punti” e forse useranno i programmi fedeltà per ottenere qualche sconto o altri vantaggi solo per il fatto di esserne membri.
Considerando tutte le informazioni che le persone devono fornire per partecipare a questi programmi fedeltà, i criminali si trovano ad avere a loro disposizione tutto ciò di cui hanno bisogno per iniziare una serie di attività fraudolente: dalle acquisizioni di account, ai furti di identità. Quindi, anche se la fedeltà di un individuo a un commerciante, a una compagnia aerea o a una catena alberghiera potrebbe non essere letteralmente “in vendita,” ci sono buone probabilità che l’account associato a tali programmi lo sia.
“Tutte le aziende devono adattarsi ai cambiamenti esterni, che si tratti di una pandemia, di un competitor che entra in gioco nel mercato o di un aggressore attivo e intelligente“, ha concluso Ragan.” Alcuni dei principali programmi di fidelizzazione mirati non richiedono altro che un numero di cellulare e una password numerica, mentre altri si affidano a informazioni facilmente reperibili come mezzo di autenticazione. Quello che emerge è un urgente bisogno di migliori controlli di identità e di contromisure per prevenire gli attacchi contro le API e le risorse dei server”.
Il report State of the Internet / Security Report: Loyalty for Sale – Retail and Hospitality Fraud è disponibile a questo link. Inoltre, giovedì 22 ottobre alle ore 11.00, Akamai ospiterà un webinar in cui gli esperti di sicurezza di Akamai discuteranno i risultati di quest’ultimo rapporto. Per iscriversi al webinar cliccare qui.
