Yarix: Phishing, fake shop e e-skimming, le truffe più diffuse ai danni dei cyber consumatori

All’ascesa del settore dell’e-commerce corrisponde un aumento del numero dei crimini informatici contro esercenti e cyber consumatori.

Secondo Yarix, divisione Digital Security di Var Group, nel 2023 le truffe online causeranno al settore dell’e-commerce perdite globali di oltre 48 miliardi di dollari, registrando un incremento del 20% rispetto alle stime del 2022. Secondo quanto analizzato, i reati aumenterebbero nel periodo che va dal black Friday alle feste natalizie.

“Il crimine è un fenomeno che evolve con l’evolversi della società: non c’è dunque da sorprendersi nel notare come ad un incremento del traffico sugli e-commerce corrisponda anche un aumento dell’azione dei cyber criminali. Secondo i dati elaborati dalla fintech svedese Klarna, il volume di vendite online della settimana del Black Friday 2022 ha registrato una crescita esponenziale rispetto allo scorso anno (+130%) con aumenti del +204% nel periodo 21-24 Novembre. – commenta Mirko Gatto, CEO di Yarix – Il progresso tecnologico porta con sé anche una maggiore diversificazione della tipologia di cyber-crimini, che spazia ora dalle più comuni frodi finanziarie ai più sofisticati casi di Man-in-the-Middle. A intensificarsi anche la diffusione di “guide”, disponibili sul dark web, su come hackerare e-commerce, effettuare rimborsi o spedizioni fraudolente o mettere in campo attività di ingegneria sociale. Un fenomeno in crescita che necessita di un approccio nuovo che promuova non solo azioni legali, ma anche una cultura della sicurezza e dell’attenzione da parte di tutti gli attori coinvolti attorno al crescente fenomeno dell’e-commerce”.

I trend relativi alle minacce cyber per il 2023 nel settore e-Commerce:

• Truffe sui social media: a un registrato aumento della presenza di e-commerce sui maggiori social networks aumenta il numero di utenti che si affidano a indicatori di affidabilità come numero di connessioni di un account o periodo di attività dello stesso, indicatori facilmente emulabili da attori malevoli per la creazione di account fake;
• Phishing: le attività di phishing hanno registrato una crescita nel 2022 e, secondo le stime per il 2023, il trend continuerà la propria ascesa. A livello globale, il phishing correlato all'e-commerce è aumentato del 170% con 7.523.412 attacchi nel secondo trimestre del 2022 rispetto ai soli 2.790.774 del primo trimestre del 2022.
• Frodi nei pagamenti online: in seguito alla diffusione capillare di mobile device e un più ampio accesso ad Internet a livello globale, è più probabile che le persone utilizzino nuove tipologie di pagamento quali i digital wallets e la modalità Buy-Now-Pay-Later (BNPL), più vulnerabili ad attacchi informatici.
• Hackeraggio di Mobile device: i dispositivi mobili si stanno evolvendo come un importante canale di opportunità per i criminali informatici poiché un numero sempre crescente di utenti preferisce utilizzare i propri dispositivi mobili su più fronti: comunicazioni aziendali e personali, acquisti online ed in generale operazioni bancarie;
• Fake shops: online store che riproducono in maniera estremamente fedele gli store originali in grado di registrare e sottrarre dati finanziari nonché dati identificativi e di contatto.

A questi si aggiungono diversi canali su Telegram in cui vengono proposti articoli di brand noti a prezzi nettamente inferiori a quelli di mercato. Tali attività producono un danno alla reputazione del brand nonché al potenziale cliente che acquista incautamente articoli contraffatti.

Frodi e-commerce - le più comuni:

• Credit Card Fraud

Si verifica quando un criminale informatico utilizza i dati della carta di credito rubati per acquistare prodotti su uno store di e-Commerce. È possibile rilevare e frenare tali attività installando, ad esempio, sistemi quali gli Address Verification Service (AVS).

Un'ulteriore forma di frode è quella in cui il truffatore ruba dati personali e identificativi di un utente per ottenere una nuova carta di credito.

• Refund Fraud

La frode sui resi si verifica quando gli acquirenti cercano di ingannare i rivenditori durante tutto il processo di restituzione del prodotto. Tale frode può assumere diverse forme, quali a titolo esemplificativo le seguenti:

• wardrobing, restituzione di oggetti che sono già stati utilizzati;
• receipt fraud, si verifica quando i truffatori utilizzano una ricevuta falsa per ottenere un rimborso su un presunto articolo difettoso o di cui si afferma non sia mai stato ricevuto;
• bricking, prevede la restituzione di un prodotto per un rimborso totale. In questa forma di frode l’articolo per cui si richiede il rimborso è stato privato delle componenti di maggior valore, che saranno poi rivendute dal criminale. Il bricking è una frode comune nell’industria elettronica.
• Ingegneria sociale

Qualsiasi attività volta ad influenzare o manipolare un individuo al fine di ottenere dati riservati e/o confidenziali. Esempi di ingegneria sociale:

• Phishing: dove l'attaccante invia e-mail apparentemente provenienti da una fonte attendibile per ottenere informazioni confidenziali;
• Vishing: dove l'attaccante utilizza una telefonata verso il target con lo scopo di raccogliere dati e ottenere le informazioni confidenziali;
• Smishing: dove l'attaccante invia messaggi affinché il destinatario compia azioni quali visitare un sito web o cliccare su un link fornito per scaricare un allegato dal contenuto malevolo.
• Fake Shop
• E-Skimming

L'e-Skimming comporta l'infezione delle pagine di pagamento di un sito web con software malevolo. L'intenzione è quella di rubare i dettagli personali e di pagamento dei clienti.