Natale, tempo di acquisti online.
Attenzione alle truffe e ai siti insicuri
Scoperto un grave errore di progettazione del sito Cartasì, grazie al quale qualsiasi malintenzionato può truffare i navigatori con il phishing. Una situazione di particolare gravità nel periodo più caldo dell'anno per gli acquisti online. Quattro regole per acquistare in sicurezza.
Milano, 4 dicembre 2014 - Gli esperti di Accomazzi.net, realtà specializzata nel commercio elettronico e nella sicurezza informatica, hanno scoperto e già segnalato all'azienda un gravissimo errore di progettazione nel sito di CartaSì utilizzato per il commercio elettronico. L'errore consente a qualsiasi malintenzionato di usare facilmente il sito CartaSì per truffare i navigatori tramite il phishing(1).
Vedere per credere
Per una dimostrazione pratica e impressionante di cosa sia possibile fare grazie all'errore di progettazione, è sufficiente visitare l'indirizzo http://goo.gl/3aYIzc, creato dagli esperti di Accomazzi.net e riprodotto nell'immagine qui a fianco. Come noteranno immediatamente i più attenti, questo è davvero il sito di Cartasì, con tanto di certificato VeriSign che dichiara sicura la connessione e scritta verde che verifica che l'azienda è stata certificata da un'autorità. Quindi il navigatore medio non può certo immaginare che in realtà sta leggendo una pagina concepita da qualcun altro.
La scoperta è particolarmente rilevante in questo periodo, durante il quale secondo le stime del Consorzio Netcomm circa 10 milioni di italiani faranno acquisti online per un controvalore stimato in 2,4 miliardi di euro(2), per lo più utilizzando la carta di credito (secondo uno studio del 2012, CartaSì era il secondo sito in Italia con il 27% del mercato(3)). Il sito CartaSì KeyClient è tra i più usati in Italia dai venditori web indipendenti, cioè quelli che non si appoggiano a un centro commerciale online come Amazon. Il valore del fatturato e-commerce in Italia nel 2013 è stato stimato in 22,3 miliardi di Euro(4).
Come evitare la truffa? Ecco le quattro regole d'oro per navigatori e aziende.
Non sempre è facile o immediato rendersi conto se il sito con cui ci si collega è davvero quello della banca o del negozio online, oppure se è stato hackerato.
Gli esperti di Accomazzi.net suggeriscono a tutti i navigatori alcune semplici regole per limitare fortemente la possibilità di finire truffati. Eccole:
1. Non seguire i link (trovati in posta e sul web) per raggiungere un sito di commercio elettronico, ma invece digitarne il nome da zero. L'accorgimento impedisce al navigatore di finire su siti maligni dal nome ingannevolmente simile a siti onesti.
2. Accertarsi che tutte le pagine web su cui si lasciano i propri dati siano contrassegnate dal lucchetto chiuso, che deve trovarsi nella barra degli indirizzi e non sotto. Non scrivere mai in una mail le proprie credenziali di accesso (ID e password) e in generale dati sensibili.
3. La presenza del lucchetto in colore verde, o del nome del sito in colore verde, indica che un'autorità ha recentemente verificato che l'azienda esiste da almeno cinque anni e non ha in corso procedura di fallimento.
4. Mantenere aggiornato il programma con cui si naviga il web. Alcuni, come Firefox e Google Chrome, si aggiornano automaticamente se viene dato il permesso.
Per le aziende che hanno un sito di commercio elettronico, i consigli di Accomazzi.net sono:
1. Dotarsi di certificazione https e usarla per erogare tutte le pagine del sito, non soltanto quelle dove viene mostrato il carrello o richiesti i dati anagrafici del cliente;
2. Utilizzare un software dedicato e non una soluzione generica per siti web (come Wordpress o Joomla) nel quale viene installata una estensione per il commercio elettronico;
3. Nello sviluppo e hosting del proprio sito web appoggiarsi solo a un fornitore con provata competenza nella sicurezza informatica, che contrattualmente dovrà monitorare il sito e mantenere aggiornato il software;
4. Verificare che chi sviluppa e/o eroga il sito abbia fatto verificare la propria realizzazione a una azienda terza, o far eseguire direttamente un controllo del genere.
Note:
(1)Si chiama phishing quella forma di truffa che, tramite un link contenuto in un messaggio di posta o posizionato su un sito, invita il navigatore su un sito web maliziosamente contraffatto per somigliare a quello di una banca o di un ente, e lì gli fa commettere una imprudenza: per esempio rivelare il suo numero di carta di credito o le credenziali per l'accesso al conto corrente. Ormai molti navigatori sanno riconoscere i più semplici tentativi di phishing, ben diversa è la situazione quando si finisce o si viene portati, come in questo caso, su sito un mal concepito al punto che chiunque può farci apparire un proprio messaggio, senza essere un hacker.
(2) dati contenuti nel comunicato stampa Netcomm: http://www.consorzionetcomm.it/Consorzio_Netcomm/Notizie/Natale-2014-Sfiorano-Quota-10-Milioni-Gli-Italiani-Che-Acquisteranno-Online-I-Propri-Regali.kl
(3) Rapporto "E-commerce in Italia 2012", pag. 37, Casaleggio Associati, Aprile 2012
(4) Rapporto "E-commerce in Italia 2014", pag. 8, Casaleggio Associati, Aprile 2014
Accomazzi.net (www.accomazzi.net)
È un'azienda milanese che fornisce servizi internet moderni e innovativi alle imprese e ai professionisti ed è specializzata nel commercio elettronico e nella sicurezza informatica. L'azienda è stata costituita nel 2005, ma i suoi soci Luca Accomazzi e Arnaldo Borsa vantano un'esperienza ventennale nella sicurezza informatica, nell'e-commerce e nel software. Accomazzi.net ha realizzato decine di siti di commercio elettronico per tutti i tipi di aziende: aziende nazionali e multinazionali, associazioni e start-up.
Nessun commento:
Posta un commento