Dal back office alla cassa: le sfide di sicurezza per i negozi al dettaglio

Non sorprende che il settore della vendita al dettaglio sia uno dei più presi di mira a livello globale, considerando che la previsione delle vendite al dettaglio nei soli Stati Uniti dovrebbe raggiungere i 5,2 trilioni di dollari nel 2022. La disponibilità economica e i dati dei consumatori sono stati per anni uno degli obiettivi principali dei criminali informatici e l’aumento degli investimenti digitali e degli acquirenti online, indotto dalla pandemia, ha reso la vendita al dettaglio una prospettiva ancora più attraente per gli aspiranti hacker. Insider maligni, personale negligente e software mal configurato o vulnerabile presente nelle reti, negli endpoint e nei dispositivi POS (Point of Sale) hanno ampliato la superficie d’attacco aziendale nel corso degli anni.

In questo contesto, la cybersecurity gioca un ruolo critico nella protezione dei dati personali e finanziari dei clienti, nel prevenire i ransomware e nel preservare la reputazione del brand. In definitiva, è un mezzo per cogliere l’opportunità di fidelizzare i clienti e far crescere il business.

Come emerge chiaramente dal nuovo Industry Report on Retail di ESET, la pandemia ha già avuto un impatto fuori misura sul settore. La capacità dei rivenditori di gestire l’aumento delle minacce online potrebbe definire il loro successo a lungo termine in un mondo post-pandemia.

Qual è la posta in gioco?

Il Covid ha contribuito alla trasformazione delle organizzazioni presenti nel settore della vendita al dettaglio, con un passaggio dal back office al terminale POS, esponendole a nuovi rischi informatici. Il lavoro remoto di massa ha reso più popolari strumenti come Microsoft Exchange e Kaseya per la comunicazione e la gestione di tutta l’infrastruttura IT, che sono stati puntualmente sfruttati in massa per il furto di dati e l’estorsione.

Più in generale, i negozi al dettaglio sono esposti in più punti della loro infrastruttura IT, mettendo a rischio la sicurezza dei database dei clienti, dei terminali POS, dei sistemi di marketing automation, degli strumenti di ottimizzazione web e delle piattaforme e dei servizi di elaborazione dei pagamenti. L’analisi effettuata da ESET nella redazione dell’Industry Report on Retail, ha evidenziato attacchi di qualsiasi tipologia, dal phishing al ransomware, dagli attacchi man-in-the-middle al SIM swapping e alla falsificazione delle app mobile. In effetti, le tattiche, le tecniche e le procedure (TTP) utilizzate più in generale negli attacchi a tema Covid sono tutte presenti nelle campagne mirate contro i clienti e le aziende che operano nel settore della vendita al dettaglio.

Dal POS all’e-commerce

I POS sono stati tradizionalmente l’obiettivo numero uno per gli aggressori in cerca di dati – in particolare nelle violazioni di alto profilo di decine di milioni di conti di Target e Home Depot diversi anni fa. C’è ancora una minaccia oggi, che si ricollega con la scoperta del malware POS ModPipe e l’impatto degli attacchi alla supply chain di Kaseya su alcuni sistemi POS dei rivenditori al dettaglio. Tuttavia, l’adozione diffusa di carte Europay, Mastercard, Visa (EMV) – che non possono essere clonate così facilmente usando dati POS rubati – e nuovi sistemi come Apple Pay stanno iniziando a incrementare le attività malevole online.

Questa tendenza generale ha ricevuto una spinta enorme con l’avvento del COVID-19, che ha determinato un aumento del 16-19% nel 2020 della percentuale del totale delle vendite al dettaglio. Di seguito un elenco non esaustivo di alcune minacce tipiche dell’e-commerce di oggi:

Il malware di skimming delle carte digitali in stile Magecart è diventato un grande rischio per i negozi online. Un gruppo ha compromesso oltre 2.800 negozi digitali in pochi giorni. Un’altra campagna di skimming ha portato a una multa di 20 milioni di sterline per British Airways.

Malware più sofisticati dedicati al furto di carte di credito sono stati trovati anche all’interno di file CSS, nelle icone di condivisione dei social media e nei metadati delle favicon, nel tentativo di eludere gli strumenti di sicurezza.

Il malware IIStealer, scoperto dai ricercatori di ESET, è un modo particolarmente sofisticato per rubare le carte di credito dei clienti. Compromette i server web, aspettando che gli utenti facciano il check-out e paghino gli articoli. Dopo aver salvato le informazioni relative alla carta di credito senza impattare l’esperienza dell’utente, il malware esfiltra i dati, nascondendoli nel traffico web legittimo. In questo caso, anche il lucchetto HTTPS non è una protezione per gli utenti, poiché IIStealer aspetta che le richieste vengano decriptate sul lato server prima di ricavare le informazioni da esse.

Malware per plugin di e-commerce come una campagna del 2020 che ha sfruttato bug di sicurezza nel plugin WooCommerce di WordPress per dare accesso al database del sito web.

Proteggere i server di e-commerce

Per i negozi che operano al dettaglio, questi rischi sono aumentati a seguito dell’implementazione di rigorosi regolamenti sulla protezione dei dati come il GDPR e il CCPA californiano, insieme allo standard di sicurezza dei dati del settore PCI DSS. La non conformità potrebbe comportare multe salate e danni alla reputazione, con conseguente perdita di clienti – un rischio serio in un settore in cui la fidelizzazione è duramente conquistata ma facilmente persa.

Non c’è una soluzione unica per risolvere queste sfide e le best practice di sicurezza informatica prevedono la presenza di sistemi di protezione a più livelli, dall’utente finale all’endpoint. Ma a un livello elevato, i team di sicurezza IT del commercio al dettaglio possono contribuire a mitigare alcuni di questi rischi proteggendo meglio i loro server di e-commerce back-end. Si consiglia, pertanto, di:

Utilizzare account dedicati con password forti e uniche per gli amministratori;

richiedere l’autenticazione a più fattori (MFA) su tutti gli account amministrativi e più privilegiati per garantire una protezione più completa; aggiornare regolarmente il sistema operativo e le applicazioni del server, e considerare attentamente quali servizi sono esposti a Internet per ridurre il rischio di sfruttamento; proteggere i dati dei clienti con sistemi di crittografia, che li renderà inservibili ai cybercriminali; considerare l’utilizzo di un firewall per applicazioni web, così come una soluzione di sicurezza affidabile sul server proprietario; distribuire difese endpoint robuste e multistrato per prevenire, rilevare e rispondere alle minacce.

Gli ambienti IT dei negozi al dettaglio comprendono diversi servizi, dalla logistica back-end al CRM, dal negozio di e-commerce front-end ai terminali POS nei negozi fisici e nei magazzini. Si tratta di un grande obiettivo a cui i malintenzionati possono mirare. Mentre il business online continua a crescere e a trasformarsi digitalmente, la chiave per il vantaggio competitivo sarà sempre più definita da quanto bene le strategie di cybersecurity basate sul rischio si combinano.