Fidelizzazione in vendita - Frodi nei settori retail e hospitality - stato di internet - security
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Volume 6, numero 3
[stato di internet] - security
Fidelizzazione
in vendita
Frodi nei settori retail e hospitality
Sommario
2 Lettera del direttore
3 Saggio: La cybersicurezza è un caso aziendale di
ROI basso, finché non si verifica una violazione di
Jeff Borman, travelINNsights
5 Introduzione
7 Abuso di credenziali
10 Case study sull'abuso di credenziali
12 Case study sul settore dei viaggi
13 WAF
15 Case study sul WAF
16 DDoS
17 Conclusione
18 Metodologie
20 Riconoscimenti
Lettera del direttore
Benvenuti nel rapporto di Akamai sullo stato di Internet - Security, volume 6, numero 3,
Fidelizzazione in vendita - Frodi nei settori retail e hospitality.
Eravate preparati al 2020? Ad essere onesti, questa è una domanda retorica;
quasi nessuno era preparato a quest'anno e a quello che avrebbe portato. È stata
un'esperienza istruttiva per ogni azienda, ma si potrebbe facilmente affermare che le
organizzazioni dei settori retail, viaggi e hospitality sono state le più colpite.
Il nostro titolo Fidelizzazione in vendita ha molti significati diversi ma intendiamo
attribuire all'espressione un significato quasi letterale. Anche se la fidelizzazione ad
un commerciante, una compagnia aerea o una catena alberghiera non può essere
letteralmente "messa in vendita", esiste una buona possibilità che l'account associato
ad un programma di fidelizzazione lo sia. A dire il vero, ci sono anche buone probabilità
che ognuno di noi abbia account con più aziende concorrenti. Con ogni account creato,
possiamo approfittare di qualsiasi programma che ci offra il miglior sconto per una
specifica transazione. Guardarsi intorno per trovare l'affare migliore non è sleale, anche
se ciò potrebbe indebolire parte del potere dell'utilizzo dei programmi di fidelizzazione.
I criminali sanno bene come usare la fedeltà ai brand contro di noi. Come affermato nei
rapporti precedenti, il riutilizzo delle password rappresenta un problema significativo
in tutti i settori. I programmi di fidelizzazione presentano un ulteriore problema con la
percezione, in quanto molti utenti non si rendono conto dei rischi elevati che corrono
e tendono ad utilizzare password semplici o account mirror che utilizzano con un'altra
organizzazione. Anche se un account compromesso non viene usato per prenotare
viaggi o i punti dei clienti non vengono spesi per acquistare prodotti, gli account
rappresentano di per sé un prodotto di valore da vendere ad altri criminali sui mercati
del dark web.
Potrebbe non essere un pensiero rassicurante, ma per molti versi, le imprese criminali
sono aziende come le altre e seguono alcuni degli stessi modelli che osserviamo nelle
imprese legittime. In queste aziende il concetto "come servizio" è saldamente radicato
come in tutte le altre aziende, basti pensare ai noleggi di attacchi DDoS e botnet e ai
servizi di phishing, per fare solo alcuni esempi. Quindi non dovrebbe sorprendere che
gli elenchi di account siano in vendita e gli strumenti per utilizzarli siano disponibili al
noleggio.
Tutte le aziende devono adattarsi agli eventi esterni, che si tratti di una pandemia, di un
concorrente o di un aggressore attivo e intelligente. Stiamo osservando l'evoluzione
dell'abuso di credenziali, e dei mercati che lo supportano, da più di due anni. E quasi
ogni volta che lo analizziamo, ci convinciamo sempre più che non sia una questione che
si possa affrontare senza avere una visione ampia del problema e degli attori coinvolti.
Martin McKeay
Editorial Director
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 2SAGGIO
La cybersicurezza è un caso aziendale di ROI
basso, finché non si verifica una violazione
di Jeff Borman
Anche se su decine di migliaia di edifici compaiono le i viaggiatori più preziosi del mondo facciano acquisti
insegne Marriott, Hyatt o Hilton, la proprietà è quasi solo all'interno del proprio portfolio scelto di brand.
sempre di un fondo di investimento immobiliare (REIT) Con 32 brand che vanno da Fairfield Inn a Ritz-Carlton,
quotato in borsa o di un titolare privato. Inoltre, queste Marriott garantisce che i viaggiatori frequenti possano
grandi società alberghiere sono in franchising all'85%, trovare tutto ciò di cui hanno bisogno all'interno
quindi i gestori di hotel sono quasi sempre aziende delle offerte di marriott.com. Con la sua base di 120
che nessun ospite conosce. L'addetto alla reception milioni di membri Bonvoy, un'azienda come Marriott
che indossa una targhetta con il nome Holiday Inn, può offrire 10 punti percentuali in più di occupazione
molto raramente è impiegato da InterContinental rispetto a un concorrente simile senza brand, e farlo in
(IHG), la società madre titolare del brand Holiday Inn. meno della metà del tempo dall'apertura delle porte.
Le principali aziende titolari di brand concentrano le L'affidabilità del prodotto, combinata con i vantaggi
proprie attività solo sugli hotel più redditizi, in genere dei programmi di fidelizzazione, crea un'enorme
le proprietà di lusso e congressuali. In sostanza, negli base di clienti che sostanzialmente sostiene l'intero
ultimi 25 anni i giganti del settore si sono evoluti in modello aziendale del grande brand.
società principalmente di branding con programmi di
fidelizzazione molto estesi. Sebbene il supporto e il contenimento dei costi
operativi offrano un valore significativo, per le
Il fascino di questi colossi per un potenziale grandi società del settore hospitality, i programmi di
proprietario è che offrono migliori ritorni sugli fidelizzazione sono il fulcro della propria esistenza.
investimenti. I gestori di fondi speculativi e gli I clienti coinvolti interagiscono direttamente con
investitori in capitali di rischio raramente hanno la propria azienda preferita. I clienti fedeli di
esperienza nella gestione di hotel, quindi pagano i Marriott non perdono tempo con Trivago: vanno
giganti del settore per le proprie competenze. Una direttamente su marriott.com. Un hotel senza brand
società di gestione del brand, come IHG, dispone può spesso pagare alle agenzie di viaggio online
di un team di progettazione e architettura aziendale (OTA) come Hotels.com fino al 25% di commissione
che crea un'opzione di "hotel confezionato" per i a prenotazione. La stessa transazione con un brand
costruttori. importante verrà effettuata a metà del costo. Tuttavia,
una prenotazione sul sito di un importante brand
Per fornire il ROI più elevato che gli investitori di hotel può costare un decimo rispetto alla stessa
cercano, i brand principali devono attrarre più clienti prenotazione effettuata tramite un intermediario.
rispetto a un'alternativa senza brand. In primo luogo, I programmi di fidelizzazione favoriscono la
i brand promettono ai viaggiatori un'experience prenotazione diretta limitando i vantaggi del
coerente in tutto il portfolio. Proprio come un Big programma solo agli utenti che prenotano
Mac ha lo stesso sapore in ogni McDonald's, i brand direttamente.
assicurano che ogni check-in abbia lo stesso carattere
tipico degli hotel Hampton. In secondo luogo, gli
estesi programmi di fidelizzazione assicurano che tutti
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 3Vent'anni fa, i brand più famosi gestivano alberghi, di migliorare i finanziamenti SEO. Gli operatori
oggi gestiscono una clientela. Uno svantaggio di alberghieri richiedono l'investimento nell'impianto
questo approccio "asset-light" consiste nel fatto che fisico per migliorare la qualità dell'hotel. I casi vincenti
le principali società alberghiere fanno affidamento sui sono generalmente quelli con la probabilità più alta
proprietari dell'immobile per eventuali investimenti di aumentare i ricavi, il principale proposito di una
negli alberghi. Tali investimenti possono prevedere società di gestione del brand.
un ammodernamento delle proprietà fisiche con
nuovi arredi fino all'acquisto di software di gestione Ogni anno in conformità con le normative legali
alberghiera. Quando Hilton ha lanciato Digital Key nel degli Stati Uniti, gli affilianti devono rilasciare
2016, il primo sistema di check-in di tipo contactless pubblicamente un "documento informativo sul
del settore, ha dovuto assicurarsi che tutti i proprietari franchising" che delinei eventuali nuovi costi e regole
degli alberghi avessero installato le serrature imposti ai proprietari di franchising. Dati i modi quasi
appropriate ed eseguito le procedure previste. Poiché illimitati di spendere il denaro altrui, non è insolito
i miglioramenti di questo tipo implicano costi ingenti, che il 90% delle "buone idee" venga scartato, per
una società come Hilton deve essere molto accurata evitare che tutti i profitti di un proprietario vengano
nella scelta delle iniziative da rendere obbligatorie. consumati in nuovi progetti ogni anno. Il ROI vince
sempre sulla mitigazione del rischio. Gli investimenti
Ogni anno, le principali società di brand di hospitality non commerciali tendono a perdere la priorità, poiché
effettuano un processo interno di definizione delle i proprietari preferiscono sempre i progetti che
priorità per determinare quali investimenti siano le aumentano i ricavi rispetto a quelli che proteggono
priorità principali da imporre ai proprietari. I reparti la reputazione del brand. Per gli albergatori, la
sono in competizione nello stilare gli elenchi. I team sicurezza informatica è una cura per l'insonnia. Per un
di gestione dei profitti documentano la necessità di settore che è orgoglioso di contribuire al buon riposo
finanziare gli investimenti per migliori algoritmi di notturno dei propri clienti, può sembrare allettante,
determinazione dei prezzi. I team di marketing fanno ma durante il sonno si possono anche avere degli
pressioni per ottenere maggiori contributi pubblicitari incubi.
per il brand. Il team digitale sostiene la necessità
Jeff Borman, è il fondatore e direttore di Quando non fornisce il proprio contributo al
travelINNsights, una società di consulenza settore dei viaggi come dipendente, Jeff lo
per il settore hospitality e turismo che fornisce sostiene come cliente: ha fatto escursioni, cenato e
servizi agli investitori e agli esperti del settore socializzato con gli abitanti locali in oltre 70 paesi
dei viaggi. TravelINNsights pubblica anche una e 45 stati. Quando è a casa sua, ad Alexandria, in
ricerca sull'hospitality relativa all'economia del Virginia, di solito trascorre il suo tempo in cucina
settore dei viaggi per il pubblico in generale. Per (preferibilmente quella all'aperto) o a rovistare in
la maggior parte dei 20 anni trascorsi nel settore cantina, dove cerca orgogliosamente di cimentarsi
dell'hospitality, è stato alla guida della gestione come sommelier, avendo da poco acquisito tale
dei ricavi per Marriott e Hilton, con competenze qualifica.
specifiche nelle analisi, nella determinazione dei
prezzi e nella gestione delle scorte.
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 4Introduzione
Dobbiamo fare i conti con la realtà. I settori del retail,
dei viaggi e dell'hospitality sono stati profondamente
colpiti dalla pandemia di COVID-19.
Questi settori, incentrati, com'è noto, sulle interazioni
dirette e sui servizi ai clienti, hanno aumentato o
creato vari programmi per supportare i propri clienti.
Tuttavia, queste misure, inclusa l'estensione dei punti
su vari programmi di fidelizzazione, premi omaggio,
ecc., non hanno potuto arrestare il calo degli affari
registrato nella prima metà del 2020. I lockdown durati
diversi mesi in tutto il mondo hanno portato a tagli di
personale e operativi.
I criminali hanno colto l'attimo e hanno iniziato a
prendere di mira i settori del retail, dei viaggi e
dell'hospitality con attacchi di ogni tipo e dimensione.
Tra luglio 2018 e giugno 2020, Akamai ha osservato
più di 100 miliardi di attacchi di credential stuffing
e più di 63 miliardi di essi erano rivolti ai settori del
retail, dei viaggi e dell'hospitality.
Durante i periodi di lockdown del primo trimestre
del 2020, i criminali hanno fatto circolare decine
di elenchi di combinazioni di password e hanno Akamai utilizza il termine "commercio"
preso di mira tutti i settori del commercio. In questo per classificare i clienti che rientrano nei
periodo, i criminali hanno iniziato a far circolare settori retail, viaggi e hospitality. Esiste una
nuovamente vecchi elenchi di credenziali allo scopo di sottocategoria chiamata "altro commercio"
identificare nuovi account vulnerabili, determinando riferita ai grossisti e distributori senza un
un miglioramento nelle vendite relative ai programmi canale direct-to-consumer (DTC). Nel presente
di fidelizzazione. rapporto, utilizziamo i termini "commercio" e
"altro" nei grafici, ma ci riferiamo direttamente
al settore quando parliamo di attacchi e
forniamo il contesto.
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 5Il credential stuffing non è stato l'unico tipo di attacco. Questi settori sono i principali obiettivi per i
I criminali hanno anche preso di mira i settori retail, criminali perché offrono diversi beni di consumo, da
viaggi e hospitality online all'origine, tramite attacchi informazioni personali a interi account pieni di premi e
SQL Injection (SQLi) e Local File Inclusion (LFI). Infatti, punti fedeltà che è possibile incassare o scambiare.
nel periodo compreso tra luglio 2018 e giugno 2020,
Akamai ha osservato oltre 4 miliardi di attacchi web
sferrati contro i settori retail, hospitality e viaggi, pari al
41% del numero complessivo di attacchi. Nell'ambito
di questi dati, l'83% di questi attacchi web ha colpito il
settore retail.
Tra luglio 2018 e giugno 2020, Akamai ha osservato
più di 100 miliardi di attacchi di credential stuffing e
più di 63 miliardi di questi erano rivolti al settore retail,
viaggi e hospitality".
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 6Abuso di credenziali
L'abuso di credenziali o gli attacchi di credential Ad esempio, se una vecchia violazione dei dati
stuffing hanno un unico problema di fondo: le conteneva la password Patriots05, un criminale che
password. Password riciclate, password condivise, conosce il football americano potrebbe ampliarla
password facilmente indovinate: tutte queste cose con Patriots17, Patriots283 o altre varianti facilmente
possono portare alla riuscita di un attacco di credential intuibili. Per questo motivo, usare parole del dizionario
stuffing. o schemi è una cattiva idea e i gestori di password
sono essenziali al giorno d'oggi.
Nel corso degli anni, i criminali si sono adattati ai
cambiamenti online e hanno iniziato a prendere di In effetti, il modo migliore per fermare gli attacchi di
mira direttamente le API per eseguire questi attacchi, credential stuffing è utilizzare un gestore di password
ma continueranno a prendere di mira i portali di e generare password lunghe e casuali univoche
accesso di base. Inoltre, alcuni criminali accrescono le per ciascun sito web. Questo, se combinato con
proprie raccolte di credenziali testando le variazioni l'autenticazione a più fattori, renderà inutili gli attacchi
di una determinata password. In questo modo di credential stuffing passivi.
aumentano le proprie probabilità di successo.
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 7Tentativi di abuso di credenziali quotidiani (luglio 2018 - giugno 2020)
300 M
15 giu 2020
Tentativi di accesso dannosi (milioni)
229.552.603
14 gen 2020
17 sett 2019 190.931.368
200 M 189.086.267
27 apr 2019
172.497.571
100 M
0M
1° lug 1° ott 1° gen 1° apr 1° lug 1° ott 1° gen 1° apr 1° lug
18 18 19 19 19 19 20 20 20
Tutti i segmenti verticali Commercio
Fig. 1 - Gli attacchi di credential stuffing sono rimasti stabili nel tempo, incluso un notevole picco verso la fine del secondo
trimestre del 2020
Nella Figura 1, viene riportato il numero di attacchi di rilevati anche attacchi contro rivenditori nei settori
credential stuffing registrati tra luglio 2018 e giugno della musica e dell'abbigliamento. Il 17 settembre
2020, da cui è stato rimosso però un cliente che non 2019, gli attacchi sono stati suddivisi tra aziende di
apparteneva al settore del commercio perché il suo abbigliamento (34%), il noto retailer precedentemente
volume di attacchi ha generato una quantità di traffico menzionato (14%), il settore dei viaggi (5%) e retailer
significativo. Inoltre, al momento della stesura del di articoli per ufficio (9%).
rapporto, erano disponibili solo sei mesi di dati. Il
primo aspetto da notare consiste nella portata degli Nel gennaio 2020, l'effetto dei lockdown globali è
attacchi, indipendentemente dal settore. I settori stato evidente poiché i criminali hanno preso di mira
retail, hospitality e viaggi, se considerati insieme, uno dei più grandi retailer online del mondo (18%),
hanno fatto registrare 63.828.642.449 attacchi di nonché un famoso retailer di articoli per la casa (4%).
credential stuffing e oltre 100 miliardi di attacchi nel Inoltre, in questo giorno i criminali hanno suddiviso
complesso. Più del 90% degli attacchi nella categoria il proprio tempo tra forniture per ufficio (6%), fast
del commercio ha preso di mira il settore retail. food (3%) e aziende di abbigliamento (17%). Infine,
il 15 giugno 2020, gli attacchi si sono concentrati
Abbiamo evidenziato vari picchi nella sequenza pesantemente sui settori di abbigliamento e cosmetici
temporale. Il 27 aprile 2019 il 39% degli attacchi (43%), seguiti da retail online (17%), forniture per
registrati si era verificato contro un noto retailer (attivo ufficio (4%) e fast food (3%).
dagli albori di Internet), ma in tale data sono stati
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 8Principali aree di origine per l'abuso di credenziali - Commercio
Luglio 2018 - giugno 2020
AREA DI ORIGINE TENTATIVI DI ACCESSO DANNOSI POSIZIONE GLOBALE
Stati Uniti 23.160.331.758 1
Cina 3.416.134.923 2
Thailandia 2.885.486.429 5
Brasile 2.844.012.210 4
Indonesia 2.333.147.171 7
Fig. 2 - Gli Stati Uniti e la Cina sono le due principali origini di attacchi di credential stuffing
La maggior parte di questi attacchi, come mostrato Per quanto riguarda la destinazione degli attacchi, che
nella Figura 2, proveniva dagli Stati Uniti, seguiti da è determinata dalla posizione del cliente, come si vede
Cina, Thailandia, Brasile e Indonesia, tra le prime nella Figura 3, gli Stati Uniti sono ancora l'obiettivo
cinque posizioni. Akamai riesce a vedere solo l'ultimo principale, seguiti da Cina, India, Brasile e Canada.
anello della catena di attacco, ma i servizi proxy e
bot sono molto richiesti e popolari in queste aree,
in particolare in Cina, dove i bot possono essere
noleggiati per pochi centesimi al minuto.
Principali aree di destinazione per l'abuso di credenziali - Commercio
Luglio 2018 - giugno 2020
AREA DI DESTINAZIONE TENTATIVI DI ACCESSO DANNOSI POSIZIONE GLOBALE
Stati Uniti 46.515.587.176 1
Cina 5.129.941.553 3
India 3.801.260.736 2
Brasile 1.950.460.737 6
Canada 1.276.859.184 5
Fig. 3 - Gli Stati Uniti e la Cina sono anche le due principali aree di destinazione di attacchi di credential stuffing
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 9Case study sull'abuso di credenziali
I criminali non sono schizzinosi. Tutto ciò a cui è Un criminale gestisce le vendite incentrate sui punti
possibile accedere può essere utilizzato in qualche carburante dal 2019, come evidenziato nella Figura
modo. Ecco perché il credential stuffing è diventato 4. Anche se può sembrare strano e completamente
così popolare negli ultimi anni. Oggigiorno, i profili fuori dalla norma quando si tratta di articoli venduti
retail e di fidelizzazione contengono una grande dai criminali derivanti dal credential stuffing, questo è
quantità di informazioni personali (che possono essere un esempio perfetto di come niente sia impossibile.
raccolte, compilate e vendute) così come l'accesso ai L'annuncio che promuove questo prodotto è
dati finanziari (carte di credito/debito archiviate o saldi incentrato sul compromesso finanziario: un risparmio
di premi, che possono essere scambiati o venduti in teorico di 30 $ sul carburante, per soli 13 $.
parti). Alcuni esempi sono i punti carburante e i saldi
dei premi di hotel.
Fig. 4 - I criminali offrono account di programmi fedeltà validi per sconti sul carburante
Nella Figura 5, lo stesso criminale offre anche account con carte di credito collegate, che includono non solo la
possibilità di spendere i punti fedeltà esistenti in carburante, ma anche di ordinare generi alimentari per il ritiro.
Questa non è un'operazione senza rischi, ma il venditore dell'account non deve preoccuparsi di queste cose.
Fig. 5 - I criminali venderanno qualsiasi cosa, inclusi gli account di programmi fedeltà gestiti da distributori di
benzina e supermercati
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 10Anche i premi di hotel sono popolari, compresi quelli delle principali catene come Hilton. Gli account vengono
ordinati e venduti in base al proprio valore in punti. Nella Figura 6, un annuncio promuove account con almeno
10.000 punti a 3 $ ciascuno, mentre gli account con 40.000 punti vengono venduti a 30 $. Questo venditore offre
anche conti con saldi da 100.000 a 550.000 punti, nonché saldi da 600.000 a 1.000.000 di punti, il più costoso dei
quali viene venduto a 850 $.
Fig. 6 - I premi di hotel vengono spesso scambiati e venduti sui mercati della darknet
Oggigiorno, i profili retail e di fidelizzazione contengono una
grande quantità di informazioni personali (che possono essere
raccolte, compilate e vendute) così come l'accesso ai dati
finanziari (carte di credito/debito archiviate o saldi di premi,
che possono essere scambiati o venduti in parti)".
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 11Case study sul settore dei viaggi
Lo sapevate che i criminali hanno agenti di viaggio? Un altro afferma: "Abbiamo utilizzato lo stesso metodo
Esistono da anni e la loro attività non è tanto quella per tutti questi anni e ci siamo impegnati sempre
di sfruttare i settori dell'hospitality e dei viaggi, ma di più per garantire la vostra sicurezza rispetto alla
sfruttare i workflow e la catena di fornitura esistenti. concorrenza. Non utilizziamo frodi con carte di credito
o frodi sui punti, il nostro metodo prevede frodi ma
In alcuni casi, gli agenti di viaggio dei criminali la società (fornitore) manterrà sempre i propri fondi
prenoteranno utilizzando carte di credito rubate, e non ci sarà alcun tipo di riaddebito di costi, il che
miglia aeree compromesse o punti premio di hotel, significa che nessuno indagherà sul servizio che avete
ma in realtà non devono farlo. I punti fedeltà possono ordinato. [sic]"
essere condivisi tra account, quindi i trasferimenti sono
un modus operandi comune. Esistono anche abusi di Come accennato, alcuni criminali prenotano viaggi
programmi di sconto, accesso privilegiato e di servizi per i propri clienti utilizzando carte compromesse,
di terze parti. account di programmi fedeltà compromessi o
una combinazione di entrambi. Il rischio è assunto
Molti degli elenchi di viaggi sulla darknet addebitano interamente dalla persona che intraprende il viaggio.
una percentuale del costo complessivo del viaggio,
dal 25% al 35%, il che significa che una prenotazione Ma molti dei venditori di maggior successo, classificati
di 2.000 $ su un noto sito di confronto/prenotazione in base alle percentuali di cancellazioni e di problemi
di viaggi costerebbe circa 700 $ sulla darknet, come (minori sono, migliore è la classifica), prendono di mira
mostrato nella Figura 7. agenzie di terze parti o hanno contatti interni in grado
di effettuare prenotazioni.
Eppure i criminali che gestiscono le agenzie di viaggio
pensano di rientrare nel settore dei servizi. Nei propri
annunci, sottolineano l'offerta del servizio di assistenza
clienti, così come il processo di prenotazione senza
difficoltà e senza problemi.
"Abbiamo completato oltre 8.500 transazioni nel corso
degli anni ottenendo sempre riscontri positivi ai servizi
che forniamo. Sebbene le nostre tariffe siano più alte
rispetto all'"agente di viaggi" medio potete fidarvi
del nostro nome e della nostra storia: non ci saranno
cancellazioni, problemi di sicurezza o preoccupazioni
durante il vostro viaggio se prenotate con noi [sic]",
spiega un agente di viaggi sulla darknet.
Fig. 7 - Una prenotazione personalizzata offerta a un acquirente
sconosciuto sulla darknet
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 12WAF
Il credential stuffing non è il solo modo con cui i Accesso.
criminali prendono di mira i settori retail, hospitality
e viaggi. Infatti, essi mirano all'origine delle I criminali prendono di mira i database per accedere
organizzazioni che operano in questi settori sferrando a informazioni personali, record finanziari, hash
attacchi SQLi (SQL Injection) e LFI (Local File Inclusion). delle password e qualsiasi altro dato memorizzato.
Nel periodo compreso tra luglio 2018 e giugno 2020, Gli attacchi SQLi possono comportare il controllo
Akamai ha osservato 4.375.711.860 attacchi web completo dell'account, ma la maggior parte degli
sferrati contro i settori retail, hospitality e viaggi, pari al attacchi si concentra sulla violazione delle informazioni
41% del numero complessivo di attacchi rivolti ai danni per un'elaborazione rapida.
dei settori di tutti i tipi. Nell'ambito di questi dati, l'83%
Gli obiettivi degli attacchi web che abbiamo registrato
di questi attacchi web ha colpito il settore retail.
sono le solite aree, con gli Stati Uniti al primo posto,
Nella Figura 8, è riportata la ripartizione degli attacchi seguiti da Regno Unito, Germania, Cina e Italia
web nella categoria Commercio. Si sono verificati (Figura 9). Li chiamiamo le solite aree perché sono
più di 3,4 miliardi di attacchi SQLi durante il periodo i luoghi dove risiedono diversi famosi retailer e
di registrazione e più di 610 milioni di attacchi LFI. organizzazioni del settore hospitality, quindi non
Chiaramente c'è una differenza tra gli attacchi e SQLi è una sorpresa vederli classificati in questo ordine.
si distingue chiaramente come il metodo preferito dei
criminali, ma perché?
Principali vettori di attacchi web che prendono di mira il settore commercio
Luglio 2018 - giugno 2020
78,971%
3B
Attacchi (miliardi)
2B
1B
13,956%
2,344% 1,805% 1,181% 1,742%
0B
SQLi LFI Caricamento dei XSS RFI Altro
file dannosi
Vettore di attacco
Fig. 8 - Gli attacchi SQLi sono i preferiti dai criminali, rappresentando il 78% degli attacchi contro i settori retail, viaggi e
hospitality
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 13Principali aree di destinazione per gli attacchi alle applicazioni web - Commercio
Luglio 2018 - giugno 2020
AREA DI DESTINAZIONE TOTALE DI ATTACCHI POSIZIONE GLOBALE
Stati Uniti 3.254.388.815 1
Regno Unito 213.941.278 2
Germania 101.055.323 4
Cina 89.718.070 9
Italia 89.008.029 12
India 79.656.341 3
Giappone 78.784.298 6
Brasile 72.290.365 13
Spagna 58.100.405 8
Francia 54.359.137 5
Fig. 9 - Gli Stati Uniti rimangono la principale area di destinazione per gli attacchi web nella categoria del commercio
Nella Figura 10, l'origine degli attacchi web altera parzialmente l'elenco, con la Russia al primo posto, seguita da
Stati Uniti, Ucraina, Cina e Paesi Bassi, tra i primi cinque. Queste aree rappresentano la parte finale nella catena
degli attacchi, ma non sono indicative della fonte di provenienza, poiché i criminali utilizzano server proxy e VPN
per indirizzare i propri attacchi.
Principali aree di origine per gli attacchi alle applicazioni web - Commercio
Luglio 2018 - giugno 2020
AREA DI ORIGINE TOTALE DI ATTACCHI POSIZIONE GLOBALE
Russia 991.460.523 2
Stati Uniti 824.268.280 1
Ucraina 226.722.689 5
Cina 203.910.633 4
Paesi Bassi 192.644.127 3
Brasile 158.750.288 9
India 120.168.099 6
Thailandia 117.005.532 12
Germania 85.055.475 8
Francia 77.354.726 14
Fig. 10 - La Russia è il principale paese di origine per gli attacchi alle applicazioni web, seguita dagli Stati Uniti
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 14Case study sul WAF
Gli attacchi SQLi prendono di mira i database di destinazione e i relativi dati. Nella Figura 11, una recente aggiunta
a un mercato della darknet promuove un database compromesso di un sito web di prenotazione di viaggi e hotel.
Il database, che contiene circa 17 milioni di record, include informazioni sul dispositivo, indirizzi e-mail, password,
nomi utente e altre informazioni personali.
Fig. 11 - I criminali compromettono i database tramite SQLi per sfruttare i relativi dati e per vendere il
database stesso
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 15DDoS
Gli attacchi DDoS (Distributed Denial-of-Service) fanno Nel periodo compreso tra luglio 2019 e giugno
rabbrividire tutti i retailer poiché, se i loro portali di 2020, come mostrato nella Figura 12, la categoria
e-commerce collassano sotto una bufera di pacchetti del commercio ha dovuto fronteggiare 125 attacchi
e traffico dannoso, ciò potrebbe implicare perdite di DDoS, di cui il 90% sferrato contro organizzazioni
migliaia di dollari al secondo. che operano nel settore retail e il resto nei settori
hospitality e viaggi.
Eventi di attacchi DDoS settimanali
Luglio 2019 - giugno 2020
150
Eventi di attacco DDoS
100
50
0
1° lug 1° ago 1° sett 1° ott 1° nov 1° dic 1° gen 1° feb 1° mar 1° apr 1° mag 1° giu
2019 2019 2019 2019 2019 2019 2020 2020 2020 2020 2020 2020
Tutti i segmenti verticali Commercio
Fig. 12 - La maggior parte degli attacchi DDoS commerciali ha preso di mira il settore del retail, che rischia di subire enormi
perdite finanziarie se non viene difeso
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 16Conclusione
I settori retail, hospitality e viaggi sono costantemente ottenute facilmente come mezzo di autenticazione.
presi di mira dai criminali poiché riescono ad accedere Si registra l'impellente necessità di identificare meglio
a risorse che vengono facilmente convertite in beni di controlli e contromisure per prevenire gli attacchi
consumo, tra cui informazioni personali, dati finanziari, sferrati contro risorse di server e API.
programmi di fidelizzazione basati sui brand o una
combinazione di essi. Poiché il costante andirivieni tra gli esperti di sicurezza
nei settori retail, hospitality e viaggi e i criminali non
Gli esperti di sicurezza hanno sviluppato, migliorato e sta certo scomparendo, Sta alle organizzazioni e ai loro
perfezionato difese e prodotti per la difesa nel corso team interni sincronizzarsi e adoperarsi per tenersi
degli anni per far fronte agli attacchi. Ma i criminali sempre aggiornati.
sono altrettanto innovativi e creativi, pertanto i loro
attacchi continuano. La sicurezza non è un acquisto o un controllo isolato.
È un processo in continua evoluzione che si concentra
Per questo motivo, è essenziale proteggere sul mantenimento delle attività aziendali o sulla ripresa
costantemente i clienti, richiedendo password di tali attività il più rapidamente possibile nel caso
complesse e l'autenticazione a più fattori. Alcuni dei in cui si verifichi un incidente, trasformando così la
principali programmi di fidelizzazione non richiedono sicurezza stessa in un settore di servizi nel più ampio
altro che un numero di cellulare e una password ambito IT.
numerica, mentre altri si basano sulle informazioni
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 17Metodologie
Note generali
I dati utilizzati per tutte le sezioni erano limitati allo geolocalizzazione interno, EdgeScape. Akamai sfrutta
stesso periodo di 24 mesi: dal 1° luglio 2018 al 30 la propria rete estremamente vasta e l'elevata visibilità
giugno 2020, salvo diversamente indicato di seguito. per verificare e mantenere i dati di geolocalizzazione,
che sono accurati al 99% a livello di paese.
Aree di "origine" e di L'origine del traffico non deve essere confusa con
l'attribuzione della posizione dell'aggressore.
"destinazione" degli attacchi L'attribuzione implica la determinazione della
posizione della persona o dell'organizzazione che
Per le richieste contrassegnate come attacco controlla l'attacco. È relativamente facile determinare
all'applicazione o tentativo di abuso delle la provenienza del traffico, mentre è estremamente
credenziali, l'area di origine viene determinata difficile determinare chi ha causato la generazione del
utilizzando l'indirizzo IP di origine connesso a uno traffico senza un team di ricercatori dedicato. E anche
degli edge server di Akamai e il nostro servizio di in questo caso, è quasi impossibile su questa scala.
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 18In base alla nostra definizione di area di origine, si può
presumere che l'area di destinazione sia determinata
DDoS
dall'indirizzo IP che ha ricevuto la richiesta dannosa, Prolexic Routed difende le organizzazioni dagli
ma non è così. Se lo fosse, l'elenco delle destinazioni attacchi DDoS reindirizzando il traffico di rete tramite
principali sarebbe probabilmente abbastanza simile gli scrubbing center di Akamai e consentendo
poiché gli edge server di Akamai sono distribuiti solo il traffico pulito. Gli esperti del SOC (Security
nella maggior parte dei paesi. Invece, l'area di Operations Center) di Akamai personalizzano i
destinazione di un attacco viene definita come la controlli di mitigazione proattivi per rilevare e bloccare
posizione principale del cliente che è stato preso di immediatamente gli attacchi ed eseguono analisi del
mira. Molte organizzazioni dispongono di una rete e traffico rimanente in tempo reale per determinare
di un ambiente di servizi ampiamente distribuiti e la ulteriori misure di mitigazione, in base alle necessità.
raccolta di dati in base a dove vengono forniti sarebbe Gli eventi di attacco DDoS vengono rilevati dal SOC
problematica a più livelli. o dalla stessa organizzazione mirata, a seconda del
modello di implementazione scelto, "always-on" o "on-
La classifica globale a cui si fa riferimento per le aree
demand", ma il SOC registra i dati per tutti gli attacchi
di origine e di destinazione di questi attacchi viene
mitigati. In modo simile al traffico delle applicazioni
calcolata prendendo in considerazione tutti i segmenti
web, l'origine è determinata dall'origine del traffico IP
verticali, anziché filtrarla in base a un settore verticale
prima della rete di Akamai.
specifico come il commercio.
Questi dati riguardavano un periodo di 12 mesi:
dal 1° luglio 2019 al 30 giugno 2020.
Attacchi alle applicazioni web
Questi dati descrivono gli avvisi a livello di
applicazione generati da Kona Site Defender e Web
Abuso di credenziali
Application Protector. I prodotti attivano questi avvisi I tentativi di abuso di credenziali sono stati identificati
quando rilevano un payload dannoso all'interno come tentativi di accesso non riusciti ad account
di una richiesta a un sito web o un'applicazione che utilizzano un indirizzo e-mail come nome utente.
protetta. Gli avvisi non indicano una compromissione Utilizziamo due algoritmi per distinguere tra tentativi
riuscita. Sebbene questi prodotti consentano un alto di abuso e utenti reali che non riescono a digitare. Il
livello di personalizzazione, i dati qui presentati sono primo algoritmo è una semplice regola volumetrica
stati raccolti senza prendere in considerazione le che conta il numero di tentativi non riusciti a un
configurazioni personalizzate delle proprietà protette. indirizzo specifico. Questo metodo differisce da ciò
che una singola organizzazione potrebbe essere in
I dati sono stati presi da Cloud Security Intelligence
grado di rilevare perché Akamai mette in correlazione
(CSI), uno strumento interno per lo storage e l'analisi
dati provenienti da centinaia di organizzazioni.
degli eventi di sicurezza rilevati sulla Akamai Intelligent
Edge Platform. Questa è una rete di circa 300.000 Il secondo algoritmo utilizza i dati provenienti dai
server in 4.000 sedi su 1.400 reti in 135 paesi. I nostri nostri servizi di rilevamento dei bot per identificare
team addetti alla sicurezza utilizzano questi dati, un abuso di credenziali da botnet e strumenti noti.
misurati in petabyte al mese, per effettuare ricerche Una botnet ben configurata può evitare il rilevamento
sugli attacchi, segnalare comportamenti dannosi e volumetrico distribuendo il suo traffico su numerosi
includere ulteriore intelligence nelle soluzioni Akamai. obiettivi, usando un gran numero di sistemi durante la
sua operazione di scansione, o distribuendo il traffico
nel tempo, solo per menzionare alcuni esempi di
elusione.
Anche questi dati sono stati presi dal repository di CSI.
[stato di Internet] - security Fidelizzazione in vendita - Frodi nei settori retail e hospitality: volume 6, numero 3 19Riconoscimenti
Collaboratori del rapporto sullo stato di Internet - Security
Responsabili editoriali
Martin McKeay Steve Ragan
Editorial Director Senior Technical Writer, Editor
Amanda Goedde Chelsea Tuttle
Senior Technical Writer, Managing Editor Data Scientist
Marketing
Georgina Morales Hampe Murali Venukumar
Project Management, Creative Program Management, Marketing
Altri rapporti sullo stato di Internet - Security
Leggete le edizioni precedenti e date un'occhiata ai prossimi rapporti sullo stato di Internet - Security.
akamai.com/soti
Altre informazioni sulla ricerca delle minacce Akamai
Restate aggiornati con le ultime analisi dell'intelligence sulle minacce, rapporti sulla sicurezza e ricerche
sulla cybersicurezza. akamai.com/threatresearch
Accesso ai dati dal rapporto
Potete visualizzare i grafici e i diagrammi citati in questo rapporto in versioni di alta qualità. L'utilizzo e la
consultazione di queste immagini sono forniti a scopo gratuito, purché Akamai venga debitamente citata
come fonte e venga conservato il logo dell'azienda. akamai.com/sotidata
Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform
permea ogni ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello
globale si affidano ad Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza
delle loro architetture multicloud. Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali,
tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso
aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24 ore
su 24, 7 giorni su 7, 365 giorni all'anno. Per scoprire perché i principali brand del mondo si affidano ad Akamai, visitate il sito
www.akamai.com o blogs.akamai.com e seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili
all'indirizzo www.akamai.com/locations. Data di pubblicazione: 10/20.
20Puoi anche leggere
