venerdì 5 dicembre 2014

Pagamenti online: un bug mette a rischio password e carte di credito


Non ci sono soltanto le false email a nome di Poste Italiane ad minacciare gli utenti. Gli esperti di Accomazzi.net, realtà specializzata nel commercio elettronico e nella sicurezza informatica, hanno scoperto e già segnalato all'azienda un gravissimo errore di progettazione nel sito di CartaSì utilizzato per il commercio elettronico. L'errore consente a qualsiasi malintenzionato di usare facilmente il sito CartaSì per truffare i navigatori tramite il phishing*. Per una dimostrazione pratica e impressionante di cosa sia possibile fare grazie all'errore di progettazione, è sufficiente visitare il link, creato dagli esperti di Accomazzi.net e riprodotto nell'immagine di seguito.

Come noteranno immediatamente i più attenti, l'indirizzo http://goo.gl/3aYIzc è davvero il sito di Cartasì, con tanto di certificato VeriSign che dichiara sicura la connessione e scritta verde che verifica che l'azienda è stata certificata da un'autorità. Quindi il navigatore medio non può certo immaginare che in realtà sta leggendo una pagina concepita da qualcun altro. La scoperta è particolarmente rilevante in questo periodo, durante il quale secondo le stime del Consorzio Netcomm circa 10 milioni di italiani faranno acquisti online per un controvalore stimato in 2,4 miliardi di euro, per lo più utilizzando la carta di credito.

Secondo uno studio del 2012, CartaSì era il secondo sito in Italia con il 27% del mercato**.  Il sito CartaSì KeyClient è tra i più usati in Italia dai venditori web indipendenti, cioè quelli che non si appoggiano a un centro commerciale online come Amazon. Il valore del fatturato e-commerce in Italia nel 2013 è stato stimato in 22,3 miliardi di Euro***. Non sempre è facile o immediato rendersi conto se il sito con cui ci si collega è davvero quello della banca o del negozio online, oppure se è stato hackerato. Gli esperti di Accomazzi.net suggeriscono a tutti i navigatori alcune semplici regole per limitare fortemente la possibilità di finire truffati. Eccole: 

1.  Non seguire i link (trovati in posta e sul web) per raggiungere un sito di commercio elettronico, ma invece digitarne il nome da zero. L'accorgimento impedisce al navigatore di finire su siti maligni dal nome ingannevolmente simile a siti onesti.
2.  Accertarsi che tutte le pagine web su cui si lasciano i propri dati siano contrassegnate dal lucchetto chiuso, che deve trovarsi nella barra degli indirizzi e non sotto. Non scrivere mai in una mail le proprie credenziali di accesso (ID e password) e in generale dati sensibili.
3.  La presenza del lucchetto in colore verde, o del nome del sito in colore verde, indica che un'autorità ha recentemente verificato che l'azienda esiste da almeno cinque anni e non ha in corso procedura di fallimento.
4.  Mantenere aggiornato il programma con cui si naviga il web. Alcuni, come Firefox e Google Chrome, si aggiornano automaticamente se viene dato il permesso.


Per le aziende che hanno un sito di commercio elettronico, i consigli di Accomazzi.net sono: 
1.  Dotarsi di certificazione https e usarla per erogare tutte le pagine del sito, non soltanto quelle dove viene mostrato il carrello o richiesti i dati anagrafici del cliente;
2.  Utilizzare un software dedicato e non una soluzione generica per siti web (come Wordpress recentemente aggiornato o Joomla) nel quale viene installata una estensione per il commercio elettronico;
3.  Nello sviluppo e hosting del proprio sito web appoggiarsi solo a un fornitore con provata competenza nella sicurezza informatica, che contrattualmente dovrà monitorare il sito e mantenere aggiornato il software;
4.  Verificare che chi sviluppa e/o eroga il sito abbia fatto verificare la propria realizzazione a una azienda terza, o far eseguire direttamente un controllo del genere. 

Accomazzi.net (www.accomazzi.net)
È un’azienda milanese che fornisce servizi internet moderni e innovativi alle imprese e ai professionisti ed è specializzata nel commercio elettronico e nella sicurezza informatica. L’azienda è stata costituita nel 2005, ma i suoi soci Luca Accomazzi e Arnaldo Borsa vantano un’esperienza ventennale nella sicurezza informatica, nell’e-commerce e nel software. Accomazzi.net ha realizzato decine di siti di commercio elettronico per tutti i tipi di aziende: aziende nazionali e multinazionali, associazioni e start-up.

Note:
* Si chiama phishing quella forma di truffa che, tramite un link contenuto in un messaggio di posta o posizionato su un sito, invita il navigatore su un sito web maliziosamente contraffatto per somigliare a quello di una banca o di un ente, e lì gli fa commettere una imprudenza: per esempio rivelare il suo numero di carta di credito o le credenziali per l'accesso al conto corrente. Ormai molti navigatori sanno riconoscere i più semplici tentativi di phishing, ben diversa è la situazione quando si finisce o si viene portati, come in questo caso, su sito un mal concepito al punto che chiunque può farci apparire un proprio messaggio, senza essere un hacker.

* Rapporto "E-commerce in Italia 2012", pag. 37, Casaleggio Associati, Aprile 2012
** Rapporto "E-commerce in Italia 2014", pag. 8, Casaleggio Associati, Aprile 2014

CartaSi adotta sistemi di sicurezza promossi dai circuiti internazionali Visa e Mastercard, come 3D Secure. Si tratta d'una protezione antifrode che garantisce agli utenti una tutela extra per i propri acquisti online, permettendo di prevenire eventuali utilizzi illeciti della carta sul web e di evitare addebiti indesiderati sul proprio conto. Anche se non si è soliti fare acquisti su Internet, con l'iscrizione al servizio 3D Secure, si avrà una garanzia di sicurezza per la propria carta e si eviterà che il numero di carta venga usato per pagamenti sul web a propria insaputa. La protezione antifrode è un sistema semplice e gratuito per fare acquisti su Internet.


Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...