Web skimming e sicurezza nei pagamenti online

DiHubert Hell

Web skimming e sicurezza nei pagamenti online

Cos’è il web skimming/e-skimming e come ci si può difendere?

Il web skimming (detto anche e-skimming) è un tipo di frode online a danno dei possessori di carte di credito.

Lo shopping online e il conseguente inserimento dei dati della carta ha sempre comportato il rischio di lasciare inavvertitamente tali dati in balia dei truffatori. Con il tempo, diversi accorgimenti hanno reso più difficile tale eventualità, ma si tratta più che altro di “armi pesanti” nelle mani dei due lati opposti della legalità.

Negli ultimi sei mesi il numero degli acquisti online è nettamente aumentato (causa Covid). Non solo molte più persone fanno acquisti online ma quest’anno è anche cresciuto in modo considerevole il numero degli shop online. Proprio tanti piccoli commercianti hanno aperto dei negozi online in aggiunta al loro negozio fisico, per poter offrire un migliore servizio ai clienti. E a volte l’hanno fatto, secondo la mia opinione, in modo improvvisato.

Questo articolo tratta di web skimming, che cos’è veramente e come voi esercenti potete proteggere voi stessi e i vostri clienti.

Cos’è il web skimming?

Tradotto letteralmente, skimming significa in inglese “scrematura”: ed è proprio ciò che accade.

Lo skimming è noto soprattutto offline, cioè nella vita reale. Negli ultimi anni abbiamo letto spesso sui giornali di sportelli bancomat manomessi, attraverso i quali vengono rubati i dati delle carte dei clienti. In questo modo, infatti, i dati vengono estratti, o meglio letti dalla banda magnetica e dal microchip. Anche il PIN può essere spiato in vari modi (microcamera, finta tastiera).

In seguito viene generata una copia della carta che i bancomat non riescono a distinguere dall’originale e con la carta falsa i truffatori possono prelevare denaro, fare acquisti, ecc.

Con il web skimming accade in linea di massima la stessa cosa, solo che avviene online.

In pratica succede questo: negli store online i dati delle carte di pagamento e delle carte di credito vengono intercettati tramite dei malware e/o l’inserimento di codici malevoli via script e i dati carpiti vengono inoltrati in background e senza essere riconosciuti. Analogamente allo skimming offline, i truffatori a questo punto hanno accesso ai dati della carta e possono agire indisturbati.

Tali attacchi sono molto difficili da smascherare. I dati della carta vengono “scremati” di nascosto, cliente ed esercente di solito non si accorgono di nulla.

Dove vengono rubati i dati delle carte?

Ci sono in circolazione metodi sempre nuovi e diversi, ma tutti comunque con lo stesso scopo: viene attivato un malware per poter leggere i dati inseriti. Ci sono di solito due modalità di attacco:

  1. Direttamente sul sito dello store online
  2. Sul sito dei provider di servizi di pagamento

La seconda variante è particolarmente pericolosa (o, a seconda del punto di vista, particolarmente lucrativa).

Quando un fornitore di servizi viene “derubato”, in linea di principio possono venire potenzialmente coinvolti tutti gli store online e le aziende che gestiscono i pagamenti tramite quel provider.

Il codice malevolo entra in azione soprattutto nel momento in cui i clienti inseriscono i dati al termine del processo d’ordine. In quella circostanza, oltre ai dati della carta possono essere compromessi molti altri dati personali come indirizzi, nomi, indirizzi e-mail, numeri di telefono, username e password.

Quali attività sono a rischio?

Mi devo preoccupare anche se sono un (piccolo) esercente?

Prima le brutte notizie:

  1. Tutti i pagamenti online per i quali non sono state prese sufficienti misure preventive di sicurezza sono potenzialmente a rischio
  2. I piccoli commercianti non sono esenti da rischi, al contrario per loro il pericolo è addirittura maggiore!

Nel 2019 il 43% degli attacchi di web skimming si sono verificati ai danni di piccoli esercenti e negozi. Sono quindi il maggior bersaglio di attacchi informatici di questo tipo.

I motivi sono ovvi:

  • Mancata conoscenza del problema del web skimming
  • Sicurezza dei dati insufficiente
  • Reparto IT di piccole dimensioni (a cui si accompagna spesso uno scarso know-how in merito alla sicurezza informatica)
  • Budget basso o nessun budget da destinare al monitoraggio della sicurezza in background

Quanto sopra lo sanno naturalmente anche i truffatori delle carte di credito e i criminali informatici. I (piccoli) esercenti subiscono continuamente tentativi di attacco che mirano a introdurre di nascosto un malware.

Una nota a margine: ogni giorno rilevo in media dodici tentativi da parte di soggetti non autorizzati (robot, presumo) di loggarsi nel backend del mio sito. Cosa cerchino resta un mistero. Ma immaginate se succedesse al vostro sito, al vostro store online, ai dati dei vostri clienti!

Ora, conoscendo il problema del web skimming siete già un passo avanti, perché la conoscenza del rischio da un lato vi fa prestare maggiore attenzione e dall’altro vi permette di prendere dei provvedimenti per evitare gli attacchi.

Cosa potete fare contro il web skimming?

Misure preventive per impedire gli attacchi di web skimming

Ho già pubblicato tempo fa un articolo riguardo alle misure più importanti da prendere per la protezione dei dati delle carte, che potete applicare, ad eccezione di qualche dettaglio, anche ai pagamenti negli store online.

Riassumendo, le misure più importanti sono:

  • Fate in modo di avere sempre l’ultima versione dei software, provvedete a regolari aggiornamenti e attenetevi alle misure di sicurezza raccomandate
  • Utilizzate una crittografia sicura e delle password forti
  • Limitate l’accesso solo a ciò che è assolutamente necessario: ogni ulteriore accesso dovrebbe essere rifiutato automaticamente dalle impostazioni di default
  • Utilizzate un firewall e un software antivirus e teneteli sempre aggiornati
  • Informatevi in modo approfondito quando dovete scegliere provider di servizi esterni

Legge di Murphy: se qualcosa può andare male, lo farà

Con questo articolo sul web skimming non voglio assolutamente fare il menagramo: spesso va tutto bene e sono tutti soddisfatti.

Il problema è sempre lo stesso: quando non succede nulla si ha avuto fortuna oppure l’impiego delle misure di sicurezza è stato “apparentemente” inutile.

Ma se non fate niente e qualcosa va storto, in quel caso sono problemi grossi. Cosa possano essere in dettaglio questi “problemi”, lo tratterò in un prossimo articolo sul tema PCI DSS.

E non dimenticate: se qualcosa può andare male, lo farà.

Un QIR per prevenire

Sono certificato dal PCI SSC (per maggiori dettagli, cliccare sul link) come Qualified Integrator and Reseller (QIR) ed eseguo installazioni qualificate.

Fornisco assistenza a partire dall’installazione fino alla messa in funzione del sistema di pagamento, affinché i vostri clienti siano al sicuro. Revisiono sistemi esistenti e vi do un feedback su quali migliorie potrebbero essere apportate, sia nel mondo digitale per il vostro store online sia per il negozio fisico.

Potete contattarmi qui

Vi auguro comunque che vada sempre tutto liscio con le vostre transazioni online!

Info sull'autore

Hubert Hell author