Il Black Friday è diventato al giorno d’oggi un momento atteso e imperdibile, un trend che si è fatto largo nel tempo ed è arrivato a numeri considerevoli. Si stima che nella settimana del Black Friday 2021, il mercato italiano abbia registrato un risultato con valore positivo del 6% rispetto al 2020, con la creazione di un mercato da 492 milioni di euro. Lo sviluppo positivo che questo trend ha creato in concomitanza con tale giornata ha provocato una riduzione dei tassi di abbandono dei carrelli in quanto gli utenti, approfittando dei promozioni e prezzi stracciati, finalizzano gli acquisti più velocemente.
Tuttavia, dal punto di vista della cyber security tutta questa frenesia rappresenta un grave problema di sicurezza. Infatti, la fretta e le offerte lampo portano gli utenti a prestare meno attenzione all’affidabilità dei siti andando incontro così a truffe: i numeri sono eloquenti, nel periodo che va dal Black Friday ai saldi di Natale si va in contro a un 20-40% in più di attacchi di web phishing che prendono di mira e sfruttano il mondo retail e e-commerce.
Ecco dunque una lista di cinque consigli pratici per evitare le truffe online e compiere i propri acquisti nella maniera più sicura possibile.
Indice degli argomenti
Verifichiamo la presenza dei cookie banner
Un primo elemento che potrebbe smascherare l’affidabilità o meno di un sito è la presenza dei cookie banner: infatti, nel 2015 i cookie banner sono divenuti obbligatori all’interno dell’Unione Europea per ogni owner e i gestori di siti web sono quindi obbligati a inserirne uno in cui venga comunicato che il sito web utilizza i cookie.
Accedere a un sito senza che appaiano questi cookie banner costituisce già di per sé un’evidenza di una possibile truffa.
Ricordiamo che la normativa relativa ai cookie banner è valida per tutti i siti internet e si applica ad ogni device utilizzato.
Siamo noi la prima barriera difensiva
Non sempre gli utenti e i dipendenti sono attratti dalle offerte dei grandi rivenditori o marketplace dove sono soliti comprare: spesse volte le promozioni più allettanti si trovano su siti più piccoli, talvolta semi-sconosciuti.
In tale contesto, la regola è sempre la stessa: il primissimo elemento da valutare per verificare l’affidabilità di un sito è il suo design e la struttura della pagina; è possibile addentrarsi nel codice del sito web e nei suoi tecnicismi, oppure anche a un primo sguardo ci si può accorgere di una serie di indicatori semplici come ad esempio la posizione del testo e delle immagini, la loro sovrapposizione, la presenza di immagini coerenti, comprendendo così che si tratta di un sito di phishing.
Di massima importanza, inoltre, l’attenzione da dare all’URL del sito dove l’utente sta effettuando il proprio acquisto. Ancor prima di navigare, tenendo il mouse fermo su un link ricevuto via mail, o con un tap lungo sul link dallo smartphone.
Oppure, dopo essere atterrati su un sito nel browser, verificare con attenzione che l’URL nella barra degli indirizzi non presenti errori di spelling.
Analisi e verifica delle informazioni e dei contatti
Da indicare a tutti gli utenti e i dipendenti di un’azienda, un’altra best practice da adottare consiste nella verifica sui siti di eventuali riferimenti: i siti di phishing molte volte non hanno né link né mail collegate al dominio su cui si sta navigando, possono essere assenti anche riferimenti essenziali per un business come ad esempio la partita IVA, il numero di telefono o l’indirizzo fisico.
Tuttavia, la loro presenza non rappresenta un elemento di sicurezza e garanzia, poiché potrebbero essere comunque fittizi.
Una soluzione risiede nel verificare la loro esattezza tramite una veloce ricerca su Google: si può verificare, per esempio, che esista veramente il numero di telefono o che con Google Maps all’indirizzo mostrato sul sito ci sia veramente il negozio o lo store indicato.
L’esca si nasconde nelle recensioni false
Anche le review possono essere un buon indicatore per capire se ci si può fidare o meno del sito su cui si sta navigando: il primo campanello di allarme è costituito dal nome di colui che lascia la recensione. Si tratta molte volte di nomi molto generici e comuni privi di un’immagine del profilo.
Inoltre, le recensioni dei clienti con acquisti verificati sono spesso contrassegnate da un badge a garanzia di affidabilità.
Una recensione falsa può essere poi riconosciuta dalla sua struttura, poiché spesso si compongo di poche parole non esemplificative del prodotto e si raggruppano nello stesso breve lasso di tempo, oltre a presentare errori grammaticali e ortografici.
Infine, anche la quantità di recensioni può essere indicativa ai fini di una valutazione della loro veridicità.
Attenti ai link dannosi inviati con tecniche fraudolenti
I criminali informatici diffondono link dannosi attraverso tecniche di attacco fortemente personalizzate sui canali maggiormente frequentati dagli utenti: dallo smishing, che prevede l’invio di sms ingannevoli, al malvertising in cui i truffatori reindirizzano il traffico degli utenti ad altri siti dannosi con messaggi pubblicitari o installano virus sui device.
Sempre più diffuse sono poi le email phishing in cui il furto di informazioni sensibili avviene tramite la ricezione di e-mail che sembrano provenire da mittenti legittimi ai quali invece è stata rubata l’identità.
Oggi gli attacchi di phishing sono diventati sempre più sofisticati, tanto da rendere complicata la distinzione tra una mail truffa da un originale: queste email contengono un collegamento che richiede informazioni sensibili, da dati a credenziali bancarie, tutti info preziose che vengono utilizzate per le frodi.
Non inserire i propri dati con leggerezza è altamente consigliato poiché il rischio di imbattersi in uno di questi fenomeni è altissimo.
Usiamo metodi di pagamento sicuri
Quando si arriva al momento del pagamento, e quindi dopo aver controllato tutti i punti precedenti ed essere sicuri che il sito sia affidabile, è bene utilizzare carte di credito o altri metodi di pagamento sicuri (ad esempio PayPal) e fare attenzione al fatto che venga attivato un processo di verifica, come ad esempio 3D secure tramite l’inserimento di PIN/codici di sicurezza.
Non usare mai la mail aziendale
Come ulteriori misure preventive e di riduzione della superficie di rischio, è bene non utilizzare mai la mail aziendale per accedere a siti non lavorativi.
Ancora meglio sarebbe creare una mail a parte dedicata a questa tipologia di servizi e soprattutto utilizzare password diverse per ogni sito.
Lato Enterprise, infine, una best practice potrebbe essere quella di applicare delle policy sul traffico più stringenti in questo periodo, così da ridurre il più possibile la superficie di rischio o avvalersi di soluzioni di cyber security che permettano di regolare l’utilizzo dell’email aziendale, permettendo l’inserimento di email e credenziali solo nei siti approvati a livello aziendale.
